Una vulnerabilità delle credenziali hardcoded utilizzate nei firewall e nei controller AP (Access Point) prodotti da Zyxel potrebbe trasformarsi in una backdoor e consentire ad un attaccante remoto di prendere il pieno controllo del dispositivo esposto in quanto le stesse credenziali hanno privilegi da amministratore.
I dispositivi Zyxel esposti alla vulnerabilità delle credenziali hardcoded.
Indice degli argomenti
La vulnerabilità dei prodotti Zyxel
In particolare, la vulnerabilità segnalata dalla stessa Zyxel con uno specifico avviso pubblicato sul suo sito Internet ha interessato le credenziali hardcoded nell’account utente “zyfwp” progettato per consentire all’azienda di distribuire e installare gli aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP.
La debolezza, tracciata come CVE-2020-29583 (punteggio CVSS 7.8), interessa la versione 4.60 del firmware presente in un’ampia gamma di dispositivi Zyxel, inclusi gli Unified Security Gateway (USG), USG FLEX, ATP e prodotti firewall VPN.
Inizialmente il problema è stato scoperto dal ricercatore Niels Teusink della EYE Nederlands, che ha segnalato la vulnerabilità a Zyxel il 29 novembre, attendendo il rilascio di una patch del firmware (ZLD V4.60 Patch1) il 18 dicembre, per poi effettuare disclosure il 23 dicembre con l’annuncio pubblico sul problema di sicurezza sul sito EYE.
Nel racconto della scoperta si apprende che durante ricerche su una istanza di USG40, il ricercatore si era accorto della presenza in chiaro della password non modificabile (“PrOw! AN_fXp”) per l’account non documentato (“zyfwp”) che viene fornito per accessi da remoto al dispositivo.
Mentre il problema non sarebbe stato presente nella versione precedente dei dispositivi (v.4.39), secondo il ricercatore sembra che la vulnerabilità della password in chiaro sia stata introdotta con l’ultima versione del firmware, la v.4.60 patch 0.
Il rischio correlato alla vulnerabilità
La caratteristica dell’account “zyfwp” di avere privilegi di amministratore consente ad un malintenzionato la compromissione completa della riservatezza, dell’integrità e della disponibilità del dispositivo in quanto l’esistenza di una password visibile e non modificabile permette un accesso verso le interfacce SSH e web con privilegi di amministratore.
Un attaccante sarebbe in grado di modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbero anche intercettare il traffico o creare account VPN per ottenere l’accesso alla rete dietro il dispositivo.
Notando che circa il 10% dei 1.000 dispositivi nei Paesi Bassi eseguono la versione del firmware interessata dalla vulnerabilità, Niels Teusink ha confermato come la relativa facilità di sfruttamento del difetto renda critica la vulnerabilità.
Infatti, combinata con una vulnerabilità come Zerologon, potrebbe avere un effetto devastante per qualsiasi impresa.
Si ricorda che Zerologon è il nome che è stato assegnato a una vulnerabilità identificata in CVE-2020-1472 che riguarda un difetto crittografico nel protocollo Microsoft Active Directory Netlogon Remote (MS-NRPC), usato dagli utenti per accedere ai server che utilizzano NTLM (NT LAN Manager). Si chiama Zerologon a causa del difetto nel processo di accesso in cui il vettore di inizializzazione (IV) è sempre impostato su tutti zeri, mentre un vettore di inizializzazione (IV) dovrebbe sempre essere un numero casuale.
Come procedere per mitigare il rischio
Zyxel ha rilasciato una patch per risolvere la vulnerabilità critica nel suo firmware. In particolare, l’8 dicembre scorso ha rilasciato il firmware beta 4.60-WK48 rimuovendo la versione del firmware vulnerabile dal proprio sito, il 15 dicembre ha rilasciato la patch 1 del firmware 4.60 per la maggior parte dei dispositivi, per poi completare il rilascio il 18 dicembre con la patch 1 del firmware 4.60 per tutti i dispositivi rimanenti.
L’azienda nel suo annuncio ha indicato come procedere invitando “gli utenti a installare gli aggiornamenti applicabili e specificando che i firewall ATP, USG, USG FLEX e VPN che eseguono versioni del firmware precedenti a ZLD V4.60 e la serie VPN che esegue l’SD-OS NON sono interessati”.
Infine, la società di Taiwan dovrebbe anche affrontare il problema nei suoi controller del punto di accesso (AP) con una patch V6.10 che verrà rilasciata presumibilmente nell’aprile 2021.
Quali i possibili scenari di attacco
L’esperto Paolo Passeri, Cyber Intelligence Principal in Netskope e fondatore di Hackmegeddon un blog di analisi e statistiche sugli attacchi Cyber, sottolinea alla nostra testata come una simile backdoor sia facilmente sfruttabile, ad esempio, dagli operatori di ransomware.
Infatti, una delle conseguenze della pandemia è stata l’utilizzo crescente di tecnologie di accesso remoto per garantire la continuità aziendale (in cui ricadono i prodotti Zyxel interessati dalla backdoor), pertanto non deve sorprendere il fatto che i criminali si siano adattati di conseguenza.
Lo sfruttamento di vulnerabilità, gli errori di configurazione, o le impostazioni di default a bassa sicurezza, come in questo caso, per sistemi esposti su internet, sono diventati, tutti insieme, i meccanismi principali utilizzati dalle gang criminali per entrare illecitamente all’interno di una organizzazione ed impiantare ransomware.
La backdoor identificata sui prodotti Zyxel non fa altro che prolungare la lunga lista di dispositivi vulnerabili che possono essere sfruttati dai criminali per i loro scopi illeciti (si veda lista non esaustiva nella tabella a seguire) con l’ulteriore complicazione della facilità di sfruttamento.
Se ci si limita alla sola considerazione della minaccia del ransomware, un possibile aspetto positivo, in questo caso, è dato dal fatto che i prodotti Zyxel sono rivolti alla fascia SMB (PMI), mentre oggi le operazioni ransomware privilegiano attacchi mirati di tipo double extortion verso le grandi organizzazioni.
Certamente impiantare ransomware non è la sola operazione che un operatore malevolo può effettuare una volta che ottiene “le chiavi di casa”, poiché potrebbe voler rubare informazioni, utilizzare l’organizzazione compromessa per lanciare altri attacchi o effettuare altre operazioni fraudolente.
Fortunatamente, un firmware aggiornato è già disponibile, per cui la raccomandazione di applicarlo subito è tanto evidente da sembrare superflua.
Tuttavia, anche in questo processo vi sono alcune potenziali criticità da considerare: da un lato, essendo dispositivi rivolti, come si evidenziava in precedenza, ad una utenza di tipo SMB (PMI), alcune delle organizzazioni impattate potrebbero non avere le competenze necessarie per aggiornare il firmware in autonomia, dall’altro questi dispositivi sono spesso offerti all’interno di un servizio che prevede la loro gestione a carico al fornitore del servizio stesso, il che significa un possibile allungamento dei tempi per l’applicazione del firmware.
In entrambi i casi questo significa una estensione della superfice di attacco a tutto vantaggio degli attori malevoli.
Tecnologia | Vulnerabilità | Data | Livello di Criticità |
Cisco | CVE-2020-3452 | 22-07-2020 | NIST: 7.5 HIGH |
Citrix | CVE-2019-19781 | 27-12-2019 07-07-2020 | NIST: 9.8 CRITICAL NIST: 7.5 HIGH NIST: 6.1 MEDIUM NIST: 6.5 MEDIUM NIST: 6.5 MEDIUM NIST: 6.5 MEDIUM NIST: 4.3 MEDIUM NIST: 8.8 HIGH NIST: 6.1 MEDIUM NIST: 7.8 HIGH |
F5 | CVE-2020-5902 | 01-07-2020 | NIST: 9.8 CRITICAL |
Fortinet | CVE-2018-13379 | 04-06-2019 04-06-2019 29-05-2019 | NIST: 9.8 CRITICAL NIST: 7.5 HIGH NIST: 7.2 MEDIUM |
Palo Alto | CVE-2019-1579 | 19-07-2019 29-06-2020 | NIST: 9.8 CRITICAL NIST: 10.0 CRITICAL |
Pulse Secure | CVE-2019-11539 | 26-04-2019 08-05-2019 | NIST: 7.2 HIGH NIST: 10.0 CRITICAL |
Sonicwall | CVE-2020-5135 | 12-10-2020 | NIST: 9.8 CRITICAL |
Zyxel | CVE-2020-29583 | 22-12-2020 | NIST: 7.8 HIGH |