Les pare-feu Zyxel contenaient une porte dérobée

Spread the love
  • Yum

Les pare-feu Zyxel contenaient une porte dérobée

Plus de 100 000 pare-feu, passerelles VPN et contrôleurs de points d’accès Zyxel contiennent un compte codé en dur qui peut permettre à des attaquants de profiter d’un niveau de privilège administrateur, accessible via l’interface SSH ou le panneau d’administration web.

Cet accès, découvert par une équipe de chercheurs en sécurité néerlandais de la société Eye Control, est considéré comme l’un des pires types de vulnérabilité.

Il est conseillé aux propriétaires d’appareils de mettre à jour les systèmes dès que possible.

Les experts en sécurité avertissent que toute personne, des opérateurs de botnet aux groupes de piratage soutenus par l’État et aux groupes de ransomware, pourrait vouloir profiter de ces comptes cachés pour accéder à des dispositifs vulnérables et pivoter vers des réseaux internes pour des attaques supplémentaires.

publicité

Les modules touchés comprennent de nombreux appareils d’entreprise

Les modèles affectés comprennent de nombreux produits phares de Zyxel, issus de sa gamme d’appareils professionnels, généralement déployés sur les réseaux des entreprises privées et des gouvernements.

Cela inclut les lignes de produits Zyxel suivantes :

  • la série Advanced Threat Protection (ATP) – utilisée principalement comme pare-feu
  • la série de passerelles de sécurité unifiées (USG) – utilisées comme un pare-feu hybride et une passerelle VPN
  • la série USG FLEX – utilisée comme un pare-feu hybride et une passerelle VPN
  • la série VPN – utilisée comme passerelle VPN
  • la série NXC – utilisée comme contrôleur de point d’accès WLAN

Nombre de ces dispositifs sont utilisés en périphérie de réseau d’une entreprise et, une fois compromis, permettent aux attaquants de pivoter et de lancer d’autres attaques contre le réseau interne.

Les patchs sont actuellement disponibles uniquement pour les séries ATP, USG, USG Flex et VPN. Les correctifs pour la série NXC sont attendus pour avril 2021, selon un avis de sécurité de Zyxel.

zyxel-products.png

Un compte caché facile à découvrir

L’installation des correctifs supprime le compte caché qui, selon les chercheurs de Eye Control, utilise le nom d’utilisateur “zyfwp” et le mot de passe “PrOw!aN_fXp“.

“Le mot de passe en clair était visible dans l’un des binaires du système”, ont déclaré les chercheurs néerlandais dans un rapport publié avant les vacances de Noël 2020.

Les chercheurs ont déclaré que le compte disposait d’un accès root à l’appareil car il était utilisé pour installer des mises à jour de firmware sur d’autres appareils Zyxel interconnectés via FTP.

Le précédent de 2016

Dans une interview avec ZDNet cette semaine, le chercheur en sécurité de l’internet des objets Ankit Anubhav estime que Zyxel aurait dû tirer les leçons d’un incident similaire en 2016.

Ce premier incident est identifié sous le matricule CVE-2016-10401. Les appareils Zyxel commercialisés à l’époque contenaient un mécanisme de porte dérobée qui permettait à quiconque d’accéder à n’importe quel compte sur un appareil Zyxel au niveau root en utilisant le mot de passe SU (super-utilisateur) “zyad5001“.

“C’est surprenant de voir encore un autre compte codé en dur, d’autant plus que Zyxel est bien conscient que la dernière fois que cela s’est produit, cet accès a été exploité par plusieurs botnets“, a déclaré Anubhav à ZDNet.

” CVE-2016-10401 fait toujours partie de l’arsenal de la plupart des botnets IoT basés sur l’attaque par mot de passe”, a déclaré le chercheur.

Anubhav a expliqué à ZDNet que la vulnérabilité de 2016 nécessitait que les attaquants aient d’abord accès à un compte à faible privilège sur un appareil Zyxel, afin qu’ils puissent l’élever au niveau root. La porte dérobée de 2020 est pire car elle peut accorder aux attaquants un accès direct à l’appareil sans aucune condition particulière.

“De plus, contrairement à la vulnérabilité précédente, qui n’était exploitable que via Telnet, cette nouvelle faille nécessite encore moins d’expertise car on peut directement tester les identifiants sur le panel hébergé sur le port 443”, a déclaré M. Anubhav.

En outre, M. Anubhav souligne que la plupart des systèmes touchés sont également très variés, contrairement à la vulnérabilité de 2016, qui n’affectait que les routeurs domestiques.

Les attaquants ont désormais accès à un plus large éventail de victimes, dont la plupart sont des entreprises, car les appareils vulnérables sont principalement commercialisés auprès des entreprises pour contrôler qui peut accéder aux intranets et aux réseaux internes à distance.

Une nouvelle vague pour le ransomware et l’espionnage

Il s’agit d’un problème important dans le contexte général, car les vulnérabilités des pare-feu et des passerelles VPN ont été l’un des principaux vecteur d’attaques de rançongiciel et d’opérations de cyberespionnage en 2019 et 2020.

Les failles de sécurité des appareils Pulse Secure, Fortinet, Citrix, MobileIron et Cisco ont souvent été exploitées pour attaquer les entreprises et les réseaux gouvernementaux.

La nouvelle porte dérobée de Zyxel pourrait exposer un tout nouvel ensemble de sociétés et d’agences gouvernementales au même type d’attaques que celles auxquelles nous avons assisté ces deux dernières années.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: