Неизменяемая учетная запись на оборудовании ZyXel

[KL FC Bot 189]

Под рождество исследователь Нильс Тойсинк из нидерландской компании EYE сообщил об уязвимости в оборудовании компании Zyxel. В ряде аппаратных межсетевых экранов и контроллеров беспроводной сети обнаружилась недокументированная учетная запись администратора zyfwp с неизменяемым паролем. Сам пароль при этом содержится в незашифрованном виде в коде прошивки. В связи с этим владельцам устройств крайне рекомендуется обновить прошивку.

Чем это опасно

Учетная запись zyfwp позволяет постороннему человеку подключиться к устройству через веб-интерфейс или по протоколу SSH и получить доступ с привилегиями администратора. Эту учетную запись нельзя отключить, а пароль жестко прописан в прошивке устройства — изменить его не получится. То есть устранить уязвимость с помощью настроек устройства невозможно.

По словам нашедшего эту уязвимость исследователя, особую опасность представляет тот факт, что на некоторых устройствах функция SSL VPN работает через порт 443, который также используется для доступа через веб-интерфейс. Так что в ряде сетей этот порт открыт для доступа из Интернета. При этом сейчас, в связи с эпидемиологической обстановкой, множество сотрудников по всему миру работает из дома, так что функция удаленного доступа к корпоративным ресурсам особенно востребована.

Потенциально такая уязвимость дает атакующим возможность перенастроить устройство, заблокировать трафик и перехватить его. Кроме того, человек, имеющий доступ к VPN-шлюзу, может создать новую учетную запись для доступа внутрь корпоративного периметра.

Исследователь из соображений этики и безопасности не назвал пароль от уязвимой учетной записи. Однако в его сообщении говорится, где этот пароль можно найти, так что на ряде ресурсов, посвященных кибербезопасности, он уже был опубликован. В итоге воспользоваться данной уязвимостью могут даже не слишком квалифицированные взломщики, что делает данную ситуацию особенно опасной.

Какие устройства уязвимы?

Уязвимы устройства для малого бизнеса с функциональностью межсетевого экрана серий ATP, USG, USG FLEX, VPN с прошивками версии ZLD V4.60. Полный список моделей, нуждающихся в срочном обновлении прошивки, вместе со ссылками на соответствующие патчи доступен на сайте ZyXel.

Кроме того, в списке уязвимых устройств перечислены контроллеры беспроводной сети NXC2500 и NXC5500 c прошивками от V6.00 до 6.10. Но патчи для них пока не готовы: компания обещает выпустить их 8 января.

В устройствах с прошивками более ранних версий этой уязвимости нет, однако это не значит, что их владельцам нечего бояться — новые прошивки создают не просто так, из соображений безопасности их также лучше обновлять.

Что делать?

Срочно обновить прошивку уязвимого устройства — уже опубликованные патчи доступны на форумах ZyXel. Если для ваших устройств еще нет патчей, рекомендуем внимательно следить за обновлениями на тех же форумах и обновить прошивку, как только она станет доступна.

Кроме того, мы рекомендуем не пренебрегать и защитой рабочих станций: если злоумышленник получит доступ в корпоративную сеть, то лучше не оставлять компьютеры сотрудников незащищенными.

View the full article