Los piratas informáticos intentan explotar una puerta trasera descubierta recientemente integrada en varios modelos de dispositivos Zyxel que cientos de miles de personas y empresas utilizan como VPN, cortafuegos y puntos de acceso inalámbrico.
La puerta trasera viene en forma de una cuenta de usuario no documentada con derechos administrativos completos que está codificada en el firmware del dispositivo, informó recientemente un investigador de la empresa de seguridad Eye Control, con sede en los Países Bajos. Se puede acceder a la cuenta, que utiliza el nombre de usuario zyfwp, a través de SSH oa través de una interfaz web.
Una grave vulnerabilidad
El investigador advirtió que la cuenta ponía a los usuarios en un riesgo considerable, particularmente si se usaba para explotar otras vulnerabilidades como Zerologon, una falla crítica de Windows que permite a los atacantes convertirse instantáneamente en administradores de red todopoderosos.
“Como el usuario zyfwp tiene privilegios de administrador, esta es una vulnerabilidad grave”, escribió Niels Teusink, investigador de Eye Control. “Un atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del dispositivo. Alguien podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico. También podrían interceptar el tráfico o crear cuentas VPN para obtener acceso a la red detrás del dispositivo. Combinado con una vulnerabilidad como Zerologon, esto podría ser devastador para las pequeñas y medianas empresas”.
Andrew Morris, fundador y director ejecutivo de la empresa de seguridad GreyNoise, dijo el lunes que los sensores de su empresa han detectado ataques automatizados que utilizan las credenciales de la cuenta en un intento de iniciar sesión en dispositivos vulnerables. En la mayoría o en todos los intentos de inicio de sesión, los atacantes simplemente agregaron las credenciales a las listas existentes de combinaciones predeterminadas de nombre de usuario/contraseña utilizadas para piratear enrutadores no seguros y otros tipos de dispositivos.
“Por definición, todo lo que estamos viendo tiene que ser oportunista”, dijo Morris, lo que significa que los atacantes están usando las credenciales contra las direcciones IP de manera pseudoaleatoria con la esperanza de encontrar dispositivos conectados que sean susceptibles de tomar el control. GreyNoise implementa sensores de recolección en cientos de centros de datos en todo el mundo para monitorear los intentos de exploración y explotación en Internet.
Los intentos de inicio de sesión que GreyNoise está viendo están ocurriendo a través de conexiones SSH, pero el investigador de Eye Control, Teusink, dijo que también se puede acceder a la cuenta no documentada mediante una interfaz web. El investigador dijo que un escaneo reciente mostró que más de 100,000 dispositivos Zyxel han expuesto la interfaz web a Internet.
Teusink dijo que la puerta trasera parece haberse introducido en la versión de firmware 4.60 parche 0, que se lanzó hace unas semanas. Un escaneo de dispositivos Zyxel en los Países Bajos mostró que alrededor del 10 por ciento de ellos estaban ejecutando esa versión vulnerable. Zyxel ha emitido un aviso de seguridad que señala los modelos de dispositivos específicos que se ven afectados. Incluyen:
cortafuegos
- Serie ATP con firmware ZLD V4.60
- Serie USG con firmware ZLD V4.60 ZLD
- Serie USG FLEX con firmware ZLD V4.60
- Serie VPN con firmware ZLD V4.60
Controladores de puntos de acceso
- NXC2500 con firmware V6.00 a V6.10
- NXC5500 con firmware V6.00 a V6.10
Para los modelos de cortafuegos, ya hay una solución disponible. Mientras tanto, los controladores AP están programados para recibir una solución el viernes. Zyxel dijo que diseñó la puerta trasera para entregar actualizaciones automáticas de firmware a los puntos de acceso conectados a través de FTP.
Las personas que usan uno de estos dispositivos afectados deben asegurarse de instalar una solución de seguridad tan pronto como esté disponible. Incluso cuando los dispositivos ejecutan una versión anterior a la 4.6, los usuarios aún deben instalar la actualización, ya que corrige vulnerabilidades separadas encontradas en versiones anteriores. Deshabilitar la administración remota también es una buena idea a menos que haya una buena razón para permitirla.
Publicación actualizada para corregir el número de versión.
