Новости Software

Опасный бэкдор-аккаунт найден в межсетевых экранах и контроллерах точек доступа Zyxel

Более 100 000 устройств Zyxel потенциально уязвимы для бэкдора — речь идёт о жёстко закодированной административной учётной записи, используемой для обновления прошивки межсетевого экрана и контроллеров точек доступа. Нильс Тьюзинк (Niels Teusink) из голландской фирмы Eye Control, занимающейся кибербезопасностью, обнаружил эту учётную запись в последней прошивке для некоторых устройств Zyxel.

Интересно, что аккаунт не отображается в пользовательском интерфейсе Zyxel, имеет логин «zyfwp» и статичный текстовый пароль. Учётная запись может использоваться для входа на уязвимые устройства как через SSH, так и через веб-интерфейс. «Поскольку SSL VPN на этих устройствах работает на том же порту, что и веб-интерфейс, многие пользователи открыли для Интернета порт 443 своих устройств. Используя общедоступные данные из Project Sonar, я смог идентифицировать около 3000 уязвимых межсетевых экранов, VPN-шлюзов и контроллеров точек доступа от Zyxel только в Нидерландах. По всему миру более 100 000 устройств открыли свои веб-интерфейсы для доступа в интернет», — сообщил специалист.

$ ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router
>

Такая уязвимость может использоваться для получения доступа к внутренней сети или создания правил переадресации портов, чтобы сделать внутренние службы общедоступными. Кто-то может, например, изменить настройки межсетевого экрана, чтобы разрешить или заблокировать определённый трафик. В сочетании с другими уязвимостями это может иметь разрушительные последствия для малого и среднего бизнеса.

Таким образом, желательно поскорее обновить затронутые сетевые устройства до последней версии прошивки — благо, Zyxel уже выпустила версию 4.60 Patch 1 для межсетевых экранов серий ATP, USG, USG FLEX и VPN. В своём сообщении компания поблагодарила специалистов Eye за информацию и заявила, что использовала жёстко закодированные учётные записи для доставки автоматических обновлений прошивки через FTP, причём оборудование с предыдущей версией прошивки ранее V4.60 Patch0 не затронуто проблемой. К сожалению, контроллеры точек доступа NXC2500 и NXC5500 остаются уязвимы, а заплатка V6.10 Patch1 для них будет выпущена только в апреле 2021 года.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Twitter запустил программу Birdwatch для борьбы с дезинформацией на платформе 54 мин.
Война лицензий: Amazon Web Services делает свободный форк Elasticsearch и Kibana 2 ч.
В Spotify появились аудиокниги, но пока это пилотный проект 4 ч.
Обновление Windows 10 21H1 будет незначительным и выйдет раньше обычного 6 ч.
Windows 10X теперь можно установить на Surface Pro 7 — хакер выпустил образ установочного носителя 7 ч.
Take-Two заставила производителя читов для GTA Online свернуть деятельность и пожертвовать выручку на благотворительность 8 ч.
11 Мбайт счастья: в Disco Elysium наконец появился русский язык 8 ч.
Приложение Instagram получит бизнес-интрументы и позволит блогерам IGTV зарабатывать на рекламе 8 ч.
В Совфеде разработают штрафы для интернет-компаний за необоснованную блокировку пользователей 10 ч.
Загрузки ICQ в Гонконге выросли в 35 раз на фоне изменений правил конфиденциальности WhatsApp 11 ч.
Hyundai запустила продвинутого робота-консультанта для обслуживания клиентов в автосалоне в Сеуле 51 мин.
Новая статья: Групповое тестирование 42 видеокарт в HITMAN III 3 ч.
Gigabyte наделила новую версию гигантской видеокарты GeForce RTX 3090 Aorus Master третьим разъёмом питания 4 ч.
Результаты превзошли ожидания: независимые эксперты протестировали аккумулятор AirPods Max 6 ч.
Samsung скоро выпустит среднебюджетный Galaxy A72 — новинка появилась на российском сайте компании 8 ч.
ASUS представила игровой ноутбук Sky Selection 2 с процессором Ryzen 5000, 240-Гц экраном и необычной внешностью 8 ч.
NVIDIA призвала производителей ноутбуков подробнее описывать характеристики видеокарт Ampere, но те не стали этого делать 8 ч.
Microsoft высмеяла сенсорную панель MacBook Pro в новой рекламе Surface 8 ч.
Motorola скоро выпустит доступный 5G-смартфон Ibiza с 90-Гц экраном и ёмкой батареей 9 ч.
Realme готовит смарт-динамики, телевизоры и самый доступный 5G-смартфон в мире 9 ч.