Vulnerabilità nei prodotti Zyxel, a rischio firewall e dispositivi Wi-Fi: i dettagli - Cyber Security 360

L'ANALISI TECNICA

Vulnerabilità nei prodotti Zyxel, a rischio firewall e dispositivi Wi-Fi: i dettagli

È stata individuata una vulnerabilità nel sistema di aggiornamento automatico dei dispositivi di rete prodotti dalla Zyxel che, se sfruttata con successo, potrebbe consentire ad un attaccante di prenderne il pieno controllo. Il problema di sicurezza è stato parzialmente patchato, per cui è importante aggiornare subito i prodotti esposti

04 Gen 2021
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Una vulnerabilità delle credenziali hardcoded utilizzate nei firewall e nei controller AP (Access Point) prodotti da Zyxel potrebbe trasformarsi in una backdoor e consentire ad un attaccante remoto di prendere il pieno controllo del dispositivo esposto in quanto le stesse credenziali hanno privilegi da amministratore.

I dispositivi Zyxel esposti alla vulnerabilità delle credenziali hardcoded.

La vulnerabilità dei prodotti Zyxel

In particolare, la vulnerabilità segnalata dalla stessa Zyxel con uno specifico avviso pubblicato sul suo sito Internet ha interessato le credenziali hardcoded nell’account utente “zyfwp” progettato per consentire all’azienda di distribuire e installare gli aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP.

La debolezza, tracciata come CVE-2020-29583 (punteggio CVSS 7.8), interessa la versione 4.60 del firmware presente in un’ampia gamma di dispositivi Zyxel, inclusi gli Unified Security Gateway (USG), USG FLEX, ATP e prodotti firewall VPN.

Inizialmente il problema è stato scoperto dal ricercatore Niels Teusink della EYE Nederlands, che ha segnalato la vulnerabilità a Zyxel il 29 novembre, attendendo il rilascio di una patch del firmware (ZLD V4.60 Patch1) il 18 dicembre, per poi effettuare disclosure il 23 dicembre con l’annuncio pubblico sul problema di sicurezza sul sito EYE.

Nel racconto della scoperta si apprende che durante ricerche su una istanza di USG40, il ricercatore si era accorto della presenza in chiaro della password non modificabile (“PrOw! AN_fXp”) per l’account non documentato (“zyfwp”) che viene fornito per accessi da remoto al dispositivo.

Mentre il problema non sarebbe stato presente nella versione precedente dei dispositivi (v.4.39), secondo il ricercatore sembra che la vulnerabilità della password in chiaro sia stata introdotta con l’ultima versione del firmware, la v.4.60 patch 0.

Il rischio correlato alla vulnerabilità

La caratteristica dell’account “zyfwp” di avere privilegi di amministratore consente ad un malintenzionato la compromissione completa della riservatezza, dell’integrità e della disponibilità del dispositivo in quanto l’esistenza di una password visibile e non modificabile permette un accesso verso le interfacce SSH e web con privilegi di amministratore.

Un attaccante sarebbe in grado di modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbero anche intercettare il traffico o creare account VPN per ottenere l’accesso alla rete dietro il dispositivo.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

Notando che circa il 10% dei 1.000 dispositivi nei Paesi Bassi eseguono la versione del firmware interessata dalla vulnerabilità, Niels Teusink ha confermato come la relativa facilità di sfruttamento del difetto renda critica la vulnerabilità.

Infatti, combinata con una vulnerabilità come Zerologon, potrebbe avere un effetto devastante per qualsiasi impresa.

Si ricorda che Zerologon è il nome che è stato assegnato a una vulnerabilità identificata in CVE-2020-1472 che riguarda un difetto crittografico nel protocollo Microsoft Active Directory Netlogon Remote (MS-NRPC), usato dagli utenti per accedere ai server che utilizzano NTLM (NT LAN Manager). Si chiama Zerologon a causa del difetto nel processo di accesso in cui il vettore di inizializzazione (IV) è sempre impostato su tutti zeri, mentre un vettore di inizializzazione (IV) dovrebbe sempre essere un numero casuale.

Come procedere per mitigare il rischio

Zyxel ha rilasciato una patch per risolvere la vulnerabilità critica nel suo firmware. In particolare, l’8 dicembre scorso ha rilasciato il firmware beta 4.60-WK48 rimuovendo la versione del firmware vulnerabile dal proprio sito, il 15 dicembre ha rilasciato la patch 1 del firmware 4.60 per la maggior parte dei dispositivi, per poi completare il rilascio il 18 dicembre con la patch 1 del firmware 4.60 per tutti i dispositivi rimanenti.

L’azienda nel suo annuncio ha indicato come procedere invitando “gli utenti a installare gli aggiornamenti applicabili e specificando che i firewall ATP, USG, USG FLEX e VPN che eseguono versioni del firmware precedenti a ZLD V4.60 e la serie VPN che esegue l’SD-OS NON sono interessati”.

Infine, la società di Taiwan dovrebbe anche affrontare il problema nei suoi controller del punto di accesso (AP) con una patch V6.10 che verrà rilasciata presumibilmente nell’aprile 2021.

Quali i possibili scenari di attacco

L’esperto Paolo Passeri, Cyber Intelligence Principal in Netskope e fondatore di Hackmegeddon un blog di analisi e statistiche sugli attacchi Cyber, sottolinea alla nostra testata come una simile backdoor sia facilmente sfruttabile, ad esempio, dagli operatori di ransomware.

Infatti, una delle conseguenze della pandemia è stata l’utilizzo crescente di tecnologie di accesso remoto per garantire la continuità aziendale (in cui ricadono i prodotti Zyxel interessati dalla backdoor), pertanto non deve sorprendere il fatto che i criminali si siano adattati di conseguenza.

Lo sfruttamento di vulnerabilità, gli errori di configurazione, o le impostazioni di default a bassa sicurezza, come in questo caso, per sistemi esposti su internet, sono diventati, tutti insieme, i meccanismi principali utilizzati dalle gang criminali per entrare illecitamente all’interno di una organizzazione ed impiantare ransomware.

La backdoor identificata sui prodotti Zyxel non fa altro che prolungare la lunga lista di dispositivi vulnerabili che possono essere sfruttati dai criminali per i loro scopi illeciti (si veda lista non esaustiva nella tabella a seguire) con l’ulteriore complicazione della facilità di sfruttamento.

Se ci si limita alla sola considerazione della minaccia del ransomware, un possibile aspetto positivo, in questo caso, è dato dal fatto che i prodotti Zyxel sono rivolti alla fascia SMB (PMI), mentre oggi le operazioni ransomware privilegiano attacchi mirati di tipo double extortion verso le grandi organizzazioni.

Certamente impiantare ransomware non è la sola operazione che un operatore malevolo può effettuare una volta che ottiene “le chiavi di casa”, poiché potrebbe voler rubare informazioni, utilizzare l’organizzazione compromessa per lanciare altri attacchi o effettuare altre operazioni fraudolente.

Fortunatamente, un firmware aggiornato è già disponibile, per cui la raccomandazione di applicarlo subito è tanto evidente da sembrare superflua.

Tuttavia, anche in questo processo vi sono alcune potenziali criticità da considerare: da un lato, essendo dispositivi rivolti, come si evidenziava in precedenza, ad una utenza di tipo SMB (PMI), alcune delle organizzazioni impattate potrebbero non avere le competenze necessarie per aggiornare il firmware in autonomia, dall’altro questi dispositivi sono spesso offerti all’interno di un servizio che prevede la loro gestione a carico al fornitore del servizio stesso, il che significa un possibile allungamento dei tempi per l’applicazione del firmware.

In entrambi i casi questo significa una estensione della superfice di attacco a tutto vantaggio degli attori malevoli.

TecnologiaVulnerabilitàDataLivello di Criticità
CiscoCVE-2020-345222-07-2020NIST: 7.5 HIGH
CitrixCVE-2019-19781

CVE-2020-8190

CVE-2020-8191

CVE-2020-8193

CVE-2020-8194

CVE-2020-8195

CVE-2020-8196

CVE-2020-8197

CVE-2020-8198

CVE-2020-8199

27-12-2019

07-07-2020

NIST: 9.8 CRITICAL

NIST: 7.5 HIGH

NIST: 6.1 MEDIUM

NIST: 6.5 MEDIUM

NIST: 6.5 MEDIUM

NIST: 6.5 MEDIUM

NIST: 4.3 MEDIUM

NIST: 8.8 HIGH

NIST: 6.1 MEDIUM

NIST: 7.8 HIGH

F5CVE-2020-590201-07-2020NIST: 9.8 CRITICAL
FortinetCVE-2018-13379

CVE-2018-13382

CVE-2018-13383

04-06-2019

04-06-2019

29-05-2019

NIST: 9.8 CRITICAL

NIST: 7.5 HIGH

NIST: 7.2 MEDIUM

Palo AltoCVE-2019-1579

CVE-2020-2021

19-07-2019

29-06-2020

NIST: 9.8 CRITICAL

NIST: 10.0 CRITICAL

Pulse SecureCVE-2019-11539

CVE-2019-11510

26-04-2019

08-05-2019

NIST: 7.2 HIGH

NIST: 10.0 CRITICAL

SonicwallCVE-2020-513512-10-2020NIST: 9.8 CRITICAL
ZyxelCVE-2020-2958322-12-2020NIST: 7.8 HIGH

Le principali vulnerabilità su dispositivi di accesso remoto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5