L'ANALISI TECNICA

Vulnerabilità nei prodotti Zyxel, a rischio firewall e dispositivi Wi-Fi: i dettagli

È stata individuata una vulnerabilità nel sistema di aggiornamento automatico dei dispositivi di rete prodotti dalla Zyxel che, se sfruttata con successo, potrebbe consentire ad un attaccante di prenderne il pieno controllo. Il problema di sicurezza è stato parzialmente patchato, per cui è importante aggiornare subito i prodotti esposti

04 Gen 2021
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Una vulnerabilità delle credenziali hardcoded utilizzate nei firewall e nei controller AP (Access Point) prodotti da Zyxel potrebbe trasformarsi in una backdoor e consentire ad un attaccante remoto di prendere il pieno controllo del dispositivo esposto in quanto le stesse credenziali hanno privilegi da amministratore.

I dispositivi Zyxel esposti alla vulnerabilità delle credenziali hardcoded.

La vulnerabilità dei prodotti Zyxel

In particolare, la vulnerabilità segnalata dalla stessa Zyxel con uno specifico avviso pubblicato sul suo sito Internet ha interessato le credenziali hardcoded nell’account utente “zyfwp” progettato per consentire all’azienda di distribuire e installare gli aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

La debolezza, tracciata come CVE-2020-29583 (punteggio CVSS 7.8), interessa la versione 4.60 del firmware presente in un’ampia gamma di dispositivi Zyxel, inclusi gli Unified Security Gateway (USG), USG FLEX, ATP e prodotti firewall VPN.

Inizialmente il problema è stato scoperto dal ricercatore Niels Teusink della EYE Nederlands, che ha segnalato la vulnerabilità a Zyxel il 29 novembre, attendendo il rilascio di una patch del firmware (ZLD V4.60 Patch1) il 18 dicembre, per poi effettuare disclosure il 23 dicembre con l’annuncio pubblico sul problema di sicurezza sul sito EYE.

Nel racconto della scoperta si apprende che durante ricerche su una istanza di USG40, il ricercatore si era accorto della presenza in chiaro della password non modificabile (“PrOw! AN_fXp”) per l’account non documentato (“zyfwp”) che viene fornito per accessi da remoto al dispositivo.

Mentre il problema non sarebbe stato presente nella versione precedente dei dispositivi (v.4.39), secondo il ricercatore sembra che la vulnerabilità della password in chiaro sia stata introdotta con l’ultima versione del firmware, la v.4.60 patch 0.

Il rischio correlato alla vulnerabilità

La caratteristica dell’account “zyfwp” di avere privilegi di amministratore consente ad un malintenzionato la compromissione completa della riservatezza, dell’integrità e della disponibilità del dispositivo in quanto l’esistenza di una password visibile e non modificabile permette un accesso verso le interfacce SSH e web con privilegi di amministratore.

Un attaccante sarebbe in grado di modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbero anche intercettare il traffico o creare account VPN per ottenere l’accesso alla rete dietro il dispositivo.

Notando che circa il 10% dei 1.000 dispositivi nei Paesi Bassi eseguono la versione del firmware interessata dalla vulnerabilità, Niels Teusink ha confermato come la relativa facilità di sfruttamento del difetto renda critica la vulnerabilità.

Infatti, combinata con una vulnerabilità come Zerologon, potrebbe avere un effetto devastante per qualsiasi impresa.

Si ricorda che Zerologon è il nome che è stato assegnato a una vulnerabilità identificata in CVE-2020-1472 che riguarda un difetto crittografico nel protocollo Microsoft Active Directory Netlogon Remote (MS-NRPC), usato dagli utenti per accedere ai server che utilizzano NTLM (NT LAN Manager). Si chiama Zerologon a causa del difetto nel processo di accesso in cui il vettore di inizializzazione (IV) è sempre impostato su tutti zeri, mentre un vettore di inizializzazione (IV) dovrebbe sempre essere un numero casuale.

Come procedere per mitigare il rischio

Zyxel ha rilasciato una patch per risolvere la vulnerabilità critica nel suo firmware. In particolare, l’8 dicembre scorso ha rilasciato il firmware beta 4.60-WK48 rimuovendo la versione del firmware vulnerabile dal proprio sito, il 15 dicembre ha rilasciato la patch 1 del firmware 4.60 per la maggior parte dei dispositivi, per poi completare il rilascio il 18 dicembre con la patch 1 del firmware 4.60 per tutti i dispositivi rimanenti.

L’azienda nel suo annuncio ha indicato come procedere invitando “gli utenti a installare gli aggiornamenti applicabili e specificando che i firewall ATP, USG, USG FLEX e VPN che eseguono versioni del firmware precedenti a ZLD V4.60 e la serie VPN che esegue l’SD-OS NON sono interessati”.

Infine, la società di Taiwan dovrebbe anche affrontare il problema nei suoi controller del punto di accesso (AP) con una patch V6.10 che verrà rilasciata presumibilmente nell’aprile 2021.

Quali i possibili scenari di attacco

L’esperto Paolo Passeri, Cyber Intelligence Principal in Netskope e fondatore di Hackmegeddon un blog di analisi e statistiche sugli attacchi Cyber, sottolinea alla nostra testata come una simile backdoor sia facilmente sfruttabile, ad esempio, dagli operatori di ransomware.

Infatti, una delle conseguenze della pandemia è stata l’utilizzo crescente di tecnologie di accesso remoto per garantire la continuità aziendale (in cui ricadono i prodotti Zyxel interessati dalla backdoor), pertanto non deve sorprendere il fatto che i criminali si siano adattati di conseguenza.

Lo sfruttamento di vulnerabilità, gli errori di configurazione, o le impostazioni di default a bassa sicurezza, come in questo caso, per sistemi esposti su internet, sono diventati, tutti insieme, i meccanismi principali utilizzati dalle gang criminali per entrare illecitamente all’interno di una organizzazione ed impiantare ransomware.

La backdoor identificata sui prodotti Zyxel non fa altro che prolungare la lunga lista di dispositivi vulnerabili che possono essere sfruttati dai criminali per i loro scopi illeciti (si veda lista non esaustiva nella tabella a seguire) con l’ulteriore complicazione della facilità di sfruttamento.

Se ci si limita alla sola considerazione della minaccia del ransomware, un possibile aspetto positivo, in questo caso, è dato dal fatto che i prodotti Zyxel sono rivolti alla fascia SMB (PMI), mentre oggi le operazioni ransomware privilegiano attacchi mirati di tipo double extortion verso le grandi organizzazioni.

Certamente impiantare ransomware non è la sola operazione che un operatore malevolo può effettuare una volta che ottiene “le chiavi di casa”, poiché potrebbe voler rubare informazioni, utilizzare l’organizzazione compromessa per lanciare altri attacchi o effettuare altre operazioni fraudolente.

Fortunatamente, un firmware aggiornato è già disponibile, per cui la raccomandazione di applicarlo subito è tanto evidente da sembrare superflua.

Tuttavia, anche in questo processo vi sono alcune potenziali criticità da considerare: da un lato, essendo dispositivi rivolti, come si evidenziava in precedenza, ad una utenza di tipo SMB (PMI), alcune delle organizzazioni impattate potrebbero non avere le competenze necessarie per aggiornare il firmware in autonomia, dall’altro questi dispositivi sono spesso offerti all’interno di un servizio che prevede la loro gestione a carico al fornitore del servizio stesso, il che significa un possibile allungamento dei tempi per l’applicazione del firmware.

In entrambi i casi questo significa una estensione della superfice di attacco a tutto vantaggio degli attori malevoli.

TecnologiaVulnerabilitàDataLivello di Criticità
CiscoCVE-2020-345222-07-2020NIST: 7.5 HIGH
Citrix CVE-2019-19781

CVE-2020-8190

CVE-2020-8191

CVE-2020-8193

CVE-2020-8194

CVE-2020-8195

CVE-2020-8196

CVE-2020-8197

CVE-2020-8198

CVE-2020-8199

27-12-2019

07-07-2020

NIST: 9.8 CRITICAL

NIST: 7.5 HIGH

NIST: 6.1 MEDIUM

NIST: 6.5 MEDIUM

NIST: 6.5 MEDIUM

NIST: 6.5 MEDIUM

NIST: 4.3 MEDIUM

NIST: 8.8 HIGH

NIST: 6.1 MEDIUM

NIST: 7.8 HIGH

F5CVE-2020-590201-07-2020NIST: 9.8 CRITICAL
Fortinet CVE-2018-13379

CVE-2018-13382

CVE-2018-13383

04-06-2019

04-06-2019

29-05-2019

NIST: 9.8 CRITICAL

NIST: 7.5 HIGH

NIST: 7.2 MEDIUM

Palo Alto CVE-2019-1579

CVE-2020-2021

19-07-2019

29-06-2020

NIST: 9.8 CRITICAL

NIST: 10.0 CRITICAL

Pulse Secure CVE-2019-11539

CVE-2019-11510

26-04-2019

08-05-2019

NIST: 7.2 HIGH

NIST: 10.0 CRITICAL

SonicwallCVE-2020-513512-10-2020NIST: 9.8 CRITICAL
ZyxelCVE-2020-2958322-12-2020NIST: 7.8 HIGH

Le principali vulnerabilità su dispositivi di accesso remoto.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr