Posté le janvier 2, 2021 à 16:58
DES COMPTES DE PORTE DÉROBÉE DÉCOUVERTS DANS PLUS DE 100 000 PARE-FEU ZYXEL
Les chercheurs en sécurité néerlandais ont découvert que plus de 100 000 appareils de réseau Zyxel présentent des vulnérabilités qui pourraient conduire à une attaque de piratage.
Ces appareils sont fabriqués par la société Zyxel, basée à Taiwan, et peuvent permettre aux hackers de voler les données des appareils vulnérables.
Les chercheurs en sécurité néerlandais qui ont découvert la faille affirment que le compte de la porte dérobée est très critique en termes de vulnérabilité.
Les hackers pourraient prendre le contrôle des dispositifs vulnérables soit par le panneau d’administration web, soit par l’interface SSH.
Il a été conseillé aux propriétaires des appareils concernés de mettre à jour leurs appareils dès que possible afin d’éviter toute tentative de piratage.
Les experts en sécurité ont également averti que différents acteurs de la menace pourraient abuser des dispositifs vulnérables, y compris les groupes de ransomware, les groupes de hackers parrainés par l’État et les opérateurs de réseaux de zombies DDoS.
Les groupes de hackers pourraient accéder aux dispositifs vulnérables et les porter sur des réseaux internes pour lancer des attaques supplémentaires.
De nombreux produits phares de Zyxel ont été touchés
Les chercheurs ont révélé que de nombreux produits de pointe de Zyxel sont touchés, notamment de nombreux appareils de classe entreprise déployés sur les réseaux gouvernementaux et dans les entreprises privées.
La gamme de produits Zyxel concernée comprend la série NXC, la série VPN (utilisée comme passerelle VPN), la série USG FLEX (une passerelle VPN et pare-feu hybride), la série USG (passerelle de sécurité unifiée) et la série ATP (Advanced Threat Protection).
La plupart de ces dispositifs sont utilisés à la périphérie du réseau d’une entreprise. Lorsqu’ils sont compromis, ils permettent aux hackers de lancer des attaques supplémentaires contre les hôtes internes.
Zyxel a cependant fourni des correctifs pour la vulnérabilité, mais pas pour tous les dispositifs. Les correctifs sont disponibles pour les séries VPN, USG Flex, USG et ATP. La société a déclaré que les correctifs pour les séries NXC seront disponibles d’ici avril 2021.
La vulnérabilité a été facile à découvrir
Selon les chercheurs d’Eye Control qui ont découvert la vulnérabilité, le compte de la porte dérobée est automatiquement supprimé après l’installation des correctifs.
Le processus utilise un mot de passe en texte clair qui était visible dans l’un des binaires du système, selon les chercheurs néerlandais.
Ils ont également révélé que le compte avait un accès root à l’appareil puisqu’il était utilisé lors de l’installation de mises à jour de firmware via FTP sur d’autres appareils Zyxel interconnectés.
Le Zyxel est de nouveau exposé après l’incident de 2016
Le chercheur en sécurité de l’IdO, Ankit Anubhav, a déclaré la semaine dernière lors d’une interview avec le ZDNet qu’il semble que Zyxel n’ait pas tiré les leçons d’un incident similaire survenu en 2016.
À partir de ce moment, la porte dérobée a été identifiée comme CVE-2016-10401, et le mécanisme secret de la porte dérobée a permis à quiconque d’élever le niveau de n’importe quel compte sur la plateforme Zyxel au niveau root avec un mot de passe de super-utilisateur.
La porte dérobée de 2020 est plus facile à exploiter
Lorsque la porte dérobée a été révélée, plusieurs réseaux de zombies en ont abusé. Selon le chercheur, l’incident précédent aurait dû servir de leçon à Zyxel puisque le présent numéro est similaire aux précédents.
« Le CVE-2016-10401 fait toujours partie de l’arsenal de la plupart des botnets IoT basés sur l’attaque par mot de passe », a rappelé le chercheur. Cependant, la situation est cette fois-ci encore pire que la précédente exposition.
Selon M. Anubhav, les commanditaires de 2020 sont plus sérieux que ceux de la porte dérobée de 2016. Selon lui, le système de porte dérobée de 2016 nécessitait que l’acteur de la menace ait accès à un compte de bas niveau sur l’appareil. Mais le mécanisme de 2020 est encore pire puisqu’il peut accorder l’accès à l’acteur de la menace sans aucune condition préalable.
De plus, la vulnérabilité de 2016 n’a été utilisée que dans Telnet, alors que la vulnérabilité actuelle ne demande qu’une moindre expertise.
Le chercheur a également révélé que la plupart des appareils concernés sont très variés, contrairement à l’exploitation de porte dérobée précédente, qui ne concernait que les routeurs domestiques.
Les acteurs de la menace ont maintenant une plus grande possibilité de lancer leurs attaques puisque les appareils touchés comprennent ceux utilisés à la maison, dans les bureaux et les établissements gouvernementaux.
Un tout nouveau niveau d’exposition
Le large éventail de victimes comprend également des entreprises, puisque les dispositifs vulnérables sont principalement commercialisés auprès des entreprises pour contrôler les réseaux internes et l’accès à l’intranet à partir de sites distants.
En 2019 et 2020, les passerelles VPN et les pare-feux ont été plus vulnérables, ce qui a été l’une des principales sources d’opérations de cyber-espionnage et d’attaques de ransomware.
Les vulnérabilités des dispositifs Cisco, Mobileron, Fortinet et Pulse Secure sont généralement exploitées pour attaquer les réseaux des gouvernements et des entreprises.
Le chercheur a également révélé que la porte dérobée Zyxel aurait pu exposer un tout nouvel ensemble d’agences gouvernementales et d’entreprises à des attaques similaires à celles qui ont été observées au fil des ans.