Gli hacker stanno tentando di sfruttare una backdoor scoperta di recente integrata in più modelli di dispositivi Zyxel che centinaia di migliaia di individui e aziende utilizzano come VPN, firewall e punti di accesso wireless.
La backdoor si presenta sotto forma di un account utente non documentato con pieni diritti amministrativi che è hardcoded nel firmware del dispositivo, ha recentemente riferito un ricercatore della società di sicurezza con sede nei Paesi Bassi Eye Control. L'account, che utilizza il nome utente zyfwp, è accessibile tramite SSH o tramite un'interfaccia Web.
Una grave vulnerabilità
Il ricercatore ha avvertito che l'account mette gli utenti a rischio considerevole, in particolare se viene utilizzato per sfruttare altre vulnerabilità come Zerologon, un difetto critico di Windows che consente agli aggressori di diventare istantaneamente amministratori di rete onnipotenti.
"Poiché l'utente zyfwp dispone dei privilegi di amministratore, questa è una grave vulnerabilità", ha scritto Niels Teusink, ricercatore di Eye Control. “Un utente malintenzionato potrebbe compromettere completamente la riservatezza, l'integrità e la disponibilità del dispositivo. Qualcuno potrebbe ad esempio modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbero anche intercettare il traffico o creare account VPN per ottenere l'accesso alla rete dietro il dispositivo. Combinato con una vulnerabilità come Zerologon, questo potrebbe essere devastante per le piccole e medie imprese ".
Andrew Morris, fondatore e CEO della società di sicurezza GreyNoise, ha dichiarato lunedì che i sensori della sua azienda hanno rilevato attacchi automatici che utilizzano le credenziali dell'account nel tentativo di accedere a dispositivi vulnerabili. Nella maggior parte o in tutti i tentativi di accesso, gli aggressori hanno semplicemente aggiunto le credenziali agli elenchi esistenti di combinazioni nome utente / password predefinite utilizzate per hackerare router non protetti e altri tipi di dispositivi.
Annuncio pubblicitario
"Per definizione, tutto ciò che stiamo vedendo deve essere opportunistico", ha detto Morris, il che significa che gli aggressori stanno utilizzando le credenziali contro gli indirizzi IP in modo pseudocasuale nella speranza di trovare dispositivi connessi suscettibili di subentro. GreyNoise distribuisce sensori di raccolta in centinaia di data center in tutto il mondo per monitorare i tentativi di scansione e sfruttamento di Internet.
I tentativi di accesso che GreyNoise sta vedendo stanno avvenendo tramite connessioni SSH, ma il ricercatore di Eye Control Teusink ha detto che è possibile accedere all'account non documentato anche tramite un'interfaccia Web. Il ricercatore ha affermato che una recente scansione ha mostrato che più di 100.000 dispositivi Zyxel hanno esposto l'interfaccia Web a Internet.
Teusink ha detto che la backdoor sembra essere stata introdotta nella versione firmware 4.60 patch 0, rilasciata poche settimane fa. Una scansione dei dispositivi Zyxel nei Paesi Bassi ha mostrato che circa il 10% di essi eseguiva quella versione vulnerabile. Zyxel ha emesso un avviso di sicurezza notando i modelli di dispositivi specifici interessati. Loro includono:
Firewall
- Serie ATP con firmware ZLD V4.60
- Serie USG con firmware ZLD V4.60 ZLD
- Serie USG FLEX con firmware ZLD V4.60
- Serie VPN con firmware ZLD V4.60
Controller AP
- NXC2500 con firmware da V6.00 a V6.10
- NXC5500 con firmware da V6.00 a V6.10
Per i modelli di firewall, è già disponibile una correzione. I controller AP, nel frattempo, riceveranno una correzione venerdì. Zyxel ha affermato di aver progettato la backdoor per fornire aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP.
Le persone che utilizzano uno di questi dispositivi interessati dovrebbero assicurarsi di installare una correzione per la sicurezza non appena diventa disponibile. Anche quando i dispositivi eseguono una versione precedente alla 4.6, gli utenti dovrebbero comunque installare l'aggiornamento, poiché corregge le vulnerabilità separate trovate nelle versioni precedenti. Anche la disabilitazione dell'amministrazione remota è una buona idea, a meno che non ci sia una buona ragione per consentirla.
Post aggiornato per correggere il numero di versione.
