Los piratas informáticos utilizan una puerta trasera integrada en los dispositivos Zyxel. Estas parcheado


Imagen publicitaria del enrutador de la computadora.

Los piratas informáticos están tratando de aprovechar una puerta trasera recientemente descubierta integrada en varios modelos de dispositivos Zyxel que cientos de miles de personas y empresas utilizan como VPN, firewalls y puntos de acceso inalámbrico.

La puerta trasera viene en forma de una cuenta de usuario indocumentada con derechos de administrador completos que está codificada en el firmware del dispositivo, informó recientemente un investigador de la compañía de seguridad holandesa Eye Control. Se puede acceder a la cuenta que usa el nombre de usuario zyfwp a través de SSH o mediante una interfaz web.

Un agujero de seguridad serio

El investigador advirtió que la cuenta pondría a los usuarios en un riesgo significativo, especialmente si se usara para explotar otras fallas de seguridad como Zerologon, un error crítico de Windows que permite a los atacantes convertirse instantáneamente en administradores de red todopoderosos.

«Debido a que el usuario de zyfwp tiene derechos de administrador, esta es una vulnerabilidad de seguridad grave», escribió el investigador de control ocular Niels Teusink. “Un atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del dispositivo. Por ejemplo, alguien podría cambiar la configuración del firewall para permitir o bloquear cierto tráfico. También puede interceptar el tráfico o crear cuentas de VPN para obtener acceso a la red detrás del dispositivo. Combinado con una vulnerabilidad como Zerologon, esto podría ser devastador para las pequeñas y medianas empresas. «

Andrew Morris, fundador y director ejecutivo de la empresa de seguridad GreyNoise, dijo el lunes que los sensores de su empresa han detectado ataques automatizados que utilizan las credenciales de la cuenta para iniciar sesión en dispositivos vulnerables. En la mayoría o en todos los intentos de inicio de sesión, los atacantes simplemente agregaron las credenciales a las listas existentes de combinaciones estándar de nombre de usuario y contraseña utilizadas para piratear enrutadores no seguros y otros tipos de dispositivos.

«Por definición, todo lo que vemos tiene que ser oportunista», dijo Morris. Esto significa que los atacantes utilizan pseudoaleatoriamente las credenciales de la dirección IP para encontrar dispositivos conectados que sean susceptibles de ser controlados. GreyNoise utiliza sensores de recolección en cientos de centros de datos en todo el mundo para monitorear los intentos de exploración y explotación en Internet.

Los intentos de inicio de sesión que ve GreyNoise son a través de conexiones SSH, pero el investigador de Eye Control, Teusink, dijo que también se puede acceder a la cuenta indocumentada a través de una interfaz web. El investigador dijo que un escaneo reciente encontró que más de 100,000 dispositivos Zyxel expusieron la interfaz web a Internet.

Teusink dijo que la puerta trasera parecía haber sido introducida en la versión de firmware 4.39, que se lanzó hace unas semanas. Un escaneo de dispositivos Zyxel en los Países Bajos encontró que alrededor del 10 por ciento de ellos están usando esta versión vulnerable. Zyxel ha emitido un aviso de seguridad que enumera los modelos de dispositivos afectados específicos. Incluyen:

Cortafuegos

  • Serie ATP con firmware ZLD V4.60
  • Serie USG con firmware ZLD V4.60 ZLD
  • Serie USG FLEX con firmware ZLD V4.60
  • Serie VPN con firmware ZLD V4.60

Controlador AP

  • NXC2500 con firmware V6.00 a V6.10
  • NXC5500 con firmware V6.00 a V6.10

Ya hay una solución disponible para los modelos de firewall. Los controladores AP deberían arreglarse el viernes. Zyxel diseñó la puerta trasera para proporcionar actualizaciones de firmware automáticas para puntos de acceso conectados a través de FTP.

Las personas que utilicen cualquiera de estos dispositivos afectados deben asegurarse de que se instale una actualización de seguridad tan pronto como esté disponible. Incluso si los dispositivos ejecutan una versión anterior a la 4.6, los usuarios aún deben instalar la actualización, ya que corrige vulnerabilidades separadas en versiones anteriores. Deshabilitar la administración remota también es una buena idea, a menos que haya una buena razón para permitirlo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *