Weltnachrichten – FR – Les pare-feu Zyxel contenaient une porte dérobée

Sécurité: le nom d’utilisateur et le mot de passe (zyfwp / PrOw! AN_fXp) étaient visibles dans l’un des fichiers binaires du firmware Zyxel.

De

Catalin Cimpanu

|
Modifié le lundi 04 janv.. . 2021 à 12:28

Plus de 100. 000 Pare-feu, passerelles VPN et contrôleurs de points d’accès Zyxel contiennent un compte codé en dur avec lequel les attaquants peuvent utiliser les droits d’administrateur accessibles via l’interface SSH ou la fenêtre d’administration Web.

Cet accès, découvert par une équipe de chercheurs néerlandais en sécurité d’Eye Control, est considéré comme l’un des pires types de faille de sécurité. Les propriétaires de ces appareils sont invités à mettre à jour leurs systèmes dès que possible.

Les experts en sécurité avertissent que divers types d’attaquants, des opérateurs de botnet aux pirates informatiques ou aux groupes de ransomwares sponsorisés par le gouvernement, peuvent vouloir profiter de cette vulnérabilité pour accéder aux appareils vulnérables et les faire pivoter vers des réseaux internes pour des attaques supplémentaires..

Les modèles concernés incluent de nombreux produits phares de Zyxel de sa gamme d’appareils professionnels généralement utilisés sur les réseaux résidentiels d’entreprise et gouvernementaux, notamment:

Beaucoup de ces appareils sont utilisés à la périphérie du réseau d’une entreprise et permettent aux attaquants de lancer d’autres attaques sur le réseau interne lorsqu’ils sont compromis.

Les correctifs ne sont actuellement disponibles que pour les séries ATP, USG, USG Flex et VPN. Les correctifs pour la série NXC devraient être publiés en avril 2021, selon l’avis de sécurité Zyxel.

L’installation du correctif supprime le compte caché qui, selon les chercheurs d’Eye Control, utilise le nom d’utilisateur « zyfwp » et le mot de passe « PrOw! aN_fXp ». .

« Le mot de passe unique était visible dans l’un des binaires du système », expliquent les chercheurs néerlandais dans un rapport publié avant les vacances de Noël 2020.

Les chercheurs précisent que le compte disposait d’un accès root à l’appareil car il était utilisé pour installer les mises à jour du micrologiciel sur d’autres appareils Zyxel connectés les uns aux autres via FTP.

Dans une interview avec ZDNet cette semaine, Ankit Anubhav, chercheur en sécurité sur l’Internet des objets, pense que Zyxel aurait dû tirer les leçons d’un incident similaire en 2016.. Ce premier incident est identifié sous le numéro d’enregistrement CVE-2016-10401.

Les appareils Zyxel commercialisés à l’époque contenaient un mécanisme de porte dérobée qui permettait à toute personne possédant le mot de passe SU (superutilisateur) d’accéder à un compte sur un appareil Zyxel dans le répertoire racine. « zyad5001 ».

« C’est surprenant de voir un autre compte codé en dur, d’autant plus que Zyxel sait que cet accès a été exploité par plusieurs botnets la dernière fois », a déclaré Ankit Anubhav à ZDNet. « CVE-2016-10401 fait toujours partie de l’arsenal de la plupart des botnets IoT basés sur des mots de passe. « 

Ankit Anubhav ajoute qu’en raison de la vulnérabilité de 2016, les attaquants devraient d’abord avoir accès à un compte à faibles privilèges sur un appareil Zyxel afin de l’élever à la racine.. La porte dérobée de 2020 est pire, car les attaquants peuvent accéder directement à l’appareil sans conditions spéciales.

« Contrairement à la vulnérabilité précédente, qui ne pouvait être exploitée que via Telnet, ce nouveau bogue nécessite encore moins de connaissances spécialisées, car nous pouvons tester les identifiants directement sur le panneau hébergé sur le port 443 », explique Seeker.

De plus, Ankit Anubhav informe que la plupart des systèmes affectés sont également très différents, contrairement à la vulnérabilité de 2016 qui n’affectait que les routeurs domestiques.. Les attaquants ont désormais accès à un plus grand nombre de victimes, dont la plupart sont des entreprises, car les appareils vulnérables sont principalement commercialisés auprès des entreprises pour contrôler qui peut accéder à distance aux intranets et aux réseaux internes..

Il s’agit d’un sujet important dans le contexte général, car les vulnérabilités des pare-feu et des passerelles VPN figuraient parmi les principales causes d’attaques de ransomware et d’opérations de cyberespionnage en 2019 et 2020.

Les vulnérabilités des appareils Pulse Secure, Fortinet, Citrix, MobileIron et Cisco ont été largement exploitées pour attaquer les entreprises et les réseaux gouvernementaux.

La nouvelle porte dérobée de Zyxel pourrait exposer toute une série de nouvelles entreprises et agences gouvernementales aux mêmes attaques que nous avons vues au cours des deux dernières années.

Des versions de porte dérobée de Webmin étaient disponibles au téléchargement depuis plus d’un an. . .

Objet:
Cyber ​​attaque
Cybercriminalité
Sécurité en ligne

De

Catalin Cimpanu

|
Modifié le lundi 04 janv.. . 2021 à 12:28

Des pirates informatiques ont piraté des serveurs VPN pour installer des portes dérobées dans des entreprises du monde entier.

Recevez chaque jour les meilleures nouvelles des professionnels de l’informatique dans votre boîte de réception

Nous sommes temporairement en mode maintenance, vous ne pouvez donc pas vous inscrire à une newsletter. Veuillez réessayer sous peu pour poursuivre le processus d’abonnement. Merci pour votre patience.

Découvrez notre dossier

Nous accompagnons les PME dans leur développement informatique. Nous partageons nos témoignages clients, nos webinaires et nos livres blancs avec vous. . .
Découvrez 5 fichiers informatiques chaque mois

Découvrez la nouvelle génération de stockage qui offre une disponibilité, des performances et une flexibilité sans compromis.
Inscrivez-vous au webinaire

Découvrez nos solutions

Copyright © 2021 ZDNET, UNE COMPAGNIE RED VENTURES. TOUS LES DROITS SONT RÉSERVÉS. CUP Interactive SAS (France). Tous les droits sont réservés. Mentions légales | Confidentialité | Cookies | Paramètres de gestion de la protection des données

Zyxel, porte dérobée, pare-feu, réseau privé virtuel