🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más
Iniciar sesión

Descubren puerta trasera secreta en firewalls Zyxel

Más de 100,000 dispositivos Zyxel son potencialmente vulnerables a una puerta trasera secreta. Esta puerta trasera es causada por credenciales codificadas que se utilizan para actualizar el firewall y el firmware de los controladores AP.

Niels Teusink de la firma neerlandesa de ciberseguridad EYE descubrió una cuenta administrativa secreta codificada. Esta está presente el último firmware 4.60 Patch 0 para algunos dispositivos Zyxel.

$ ssh zyfwp@192.168.1.252
Password: Pr ******* Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>


“Como SSL VPN en estos dispositivos opera en el mismo puerto que la interfaz web, muchos usuarios han expuesto el puerto 443 de estos dispositivos a Internet. Usando datos disponibles públicamente de Project Sonar, pude identificar alrededor de 3,000 USG/Dispositivos ATP/VPN Zyxel en los Países Bajos. A nivel mundial, más de 100,000 dispositivos han expuesto su interfaz web a Internet”, informó Teusink .

Las vulnerabilidades de los dispositivos VPN son extremadamente peligrosas, ya que pueden usarse para crear nuevas cuentas VPN. Esto para obtener acceso a una red interna o crear reglas de reenvío de puertos para que los servicios internos sean accesibles al público.

“Alguien podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico. También podría interceptar el tráfico o crear cuentas VPN para obtener acceso a la red detrás del dispositivo. Combinado con una vulnerabilidad como Zerologon, esto podría ser devastador para las pequeñas y medianas empresas,” advirtió Teusink.

Este tipo de vulnerabilidades se ha convertido en una de las favoritas entre los actores de amenazas. Sabemos que estos están aprovechando las vulnerabilidades de VPN’s de Pulse SecureFortinet y Citrix Netscaler para implementar ransomware. También las están utilizando comprometer las redes corporativas internas para robar datos.

Los administradores de los dispositivos afectados deben actualizar sus dispositivos al firmware más reciente lo antes posible.

Zyxel lanzó nuevo firmware para firewalls

En un aviso, Zyxel agradeció a EYE por su divulgación. Y, declaró que utilizaron las credenciales codificadas para enviar actualizaciones automáticas de firmware a través de FTP.

“Se identificó una vulnerabilidad de credencial codificada en la cuenta de usuario” zyfwp” en algunos firewalls Zyxel y controladores AP. La cuenta fue diseñada para enviar actualizaciones automáticas de firmware a los puntos de acceso conectados a través de FTP”, afirma el aviso de Zyxel.

Zyxel ha lanzado ZLD V4.60 Patch 1 para eliminar las credenciales codificadas en dispositivos vulnerables ATP, USG, USG Flex y VPN. Zyxel afirma que los firewalls ATP, USG, USG FLEX y VPN que utilizan firmware anterior o SD-OS no se ven afectados.

Se espera que el parche para los controladores NXC AP se lance en abril de 2021.

La tabla de productos Zyxel afectados y la disponibilidad de parches la encuentras a continuación.

Serie de productos afectadosParche disponible en
Cortafuegos
Serie ATP con firmware ZLD V4.60ZLD V4.60 Patch1 en diciembre de 2020
Serie USG con firmware ZLD V4.60ZLD V4.60 Patch1 en diciembre de 2020
Serie USG FLEX con firmware ZLD V4.60ZLD V4.60 Patch1 en diciembre de 2020
Serie VPN con firmware ZLD V4.60ZLD V4.60 Patch1 en diciembre de 2020
 
Controladores AP
NXC2500V6.10 Patch1 en abril de 2021
NXC5500V6.10 Patch1 en abril de 2021
Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información