Los piratas informáticos están intentando explotar una puerta trasera descubierta recientemente integrada en varios modelos de dispositivos Zyxel que cientos de miles de personas y empresas utilizan como VPN, firewalls y puntos de acceso inalámbricos.
La puerta trasera viene en forma de una cuenta de usuario indocumentada con derechos administrativos completos que está codificada en el firmware del dispositivo, un investigador de la firma de seguridad con sede en Holanda Eye Control reportado recientemente. Se puede acceder a la cuenta, que usa el nombre de usuario zyfwp, a través de SSH o mediante una interfaz web.
Una grave vulnerabilidad
El investigador advirtió que la cuenta exponía a los usuarios a un riesgo considerable, especialmente si se usaba para explotar otras vulnerabilidades como Zerologon, una falla crítica de Windows que permite a los atacantes convertirse instantáneamente en administradores de red todopoderosos.
“Como el usuario de zyfwp tiene privilegios de administrador, esta es una vulnerabilidad grave”, escribió el investigador de Eye Control Niels Teusink. “Un atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del dispositivo. Alguien podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico. También podrían interceptar el tráfico o crear cuentas VPN para obtener acceso a la red detrás del dispositivo. Combinado con una vulnerabilidad como Zerologon, esto podría ser devastador para las pequeñas y medianas empresas “.
Andrew Morris, fundador y director ejecutivo de la firma de seguridad GreyNoise, dijo el lunes que los sensores de su empresa han detectado ataques automatizados que utilizan las credenciales de la cuenta en un intento de iniciar sesión en dispositivos vulnerables. En la mayoría o en todos los intentos de inicio de sesión, los atacantes simplemente agregaron las credenciales a las listas existentes de combinaciones de nombre de usuario / contraseña predeterminadas que se utilizan para piratear enrutadores no seguros y otros tipos de dispositivos.
“Por definición, todo lo que estamos viendo tiene que ser oportunista”, dijo Morris, lo que significa que los atacantes están usando las credenciales contra direcciones IP de una manera pseudoaleatoria con la esperanza de encontrar dispositivos conectados que sean susceptibles de apropiación. GreyNoise implementa sensores de recolección en cientos de centros de datos en todo el mundo para monitorear los intentos de exploración y explotación de Internet.
Los intentos de inicio de sesión que GreyNoise está viendo están sucediendo a través de conexiones SSH, pero el investigador de Eye Control, Teusink, dijo que también se puede acceder a la cuenta indocumentada mediante una interfaz web. El investigador dijo que un escaneo reciente mostró que más de 100,000 dispositivos Zyxel han expuesto la interfaz web a Internet.
Teusink dijo que la puerta trasera parece haber sido introducida en la versión de firmware 4.39, que se lanzó hace unas semanas. Un escaneo de dispositivos Zyxel en los Países Bajos mostró que alrededor del 10 por ciento de ellos estaban ejecutando esa versión vulnerable. Zyxel ha emitido un aviso de seguridad teniendo en cuenta los modelos de dispositivos específicos que se ven afectados. Incluyen:
Cortafuegos
- Serie ATP con firmware ZLD V4.60
- Serie USG con firmware ZLD V4.60 ZLD
- Serie USG FLEX con firmware ZLD V4.60
- Serie VPN con firmware ZLD V4.60
Controladores AP
- NXC2500 con firmware V6.00 a V6.10
- NXC5500 con firmware V6.00 a V6.10
Para los modelos de firewall, ya está disponible una solución. Mientras tanto, los controladores AP están programados para recibir una solución el viernes. Zyxel dijo que diseñó la puerta trasera para entregar actualizaciones automáticas de firmware a los puntos de acceso conectados a través de FTP.
Las personas que usan uno de estos dispositivos afectados deben asegurarse de instalar una solución de seguridad tan pronto como esté disponible. Incluso cuando los dispositivos ejecutan una versión anterior a la 4.6, los usuarios deben instalar la actualización, ya que corrige vulnerabilidades independientes que se encuentran en versiones anteriores. Deshabilitar la administración remota también es una buena idea a menos que exista una buena razón para permitirlo.