CVE-2020-29583: Geheime Backdoor-Schwachstelle in Zyxel-Produkten
Inhaltsverzeichnis:
Bedrohungsakteure nutzen eine kürzlich entdeckte geheime Hintertür von Zyxel in freier Wildbahn aus. Es ist höchste Zeit, einen Patch anzuwenden, da Gegner sofort nach verwundbaren Installationen suchen, um Schwung zu gewinnen, bevor Updates installiert werden.
CVE-2020-29583 Überblick
The bug tritt auf, da eine Anzahl of Zyxel Produkte eingebaut an undokumentiertes Root Konto nutzt kabelgebundene Anmeldedaten zugänglich Klartext in the cleartext via Firmware Binärdateien. Anfänglich, the Hintertür Konto mit Benutzernamen ‘zyfwp’ and a Passwort ‘PrOw!aN_fXp’ was angewendet to schieben Updates to Zyxel’s Firewall and WLAN Controller. Jedoch, Cyber–Kriminelle könnten nutzen it to um zu erhalten Admin Rechte on any Zyxel Installation. Von dort, Bedrohungs Akteure are in der Lage to eindringen the interne Umgebung or kombinieren Hintertür mit solche Schwachstellen as Zerologon um zu schwenken zu the anvisierte Assets.
Der Forscher, der entdeckt die geheime Hintertür, hält es für möglich, dass viele Zyxel-Nutzer betroffen sein könnten. Es ist möglich, da die SSL-VPN-Schnittstelle und die Web-Schnittstelle denselben Port für den Betrieb nutzen, wodurch Kunden dazu gedrängt werden, den Port 443 offen zu lassen. Ungefähr 100.000 Installationen weltweit könnten exponiert sein.
Geheime Hintertür-Erkennung und -Minderung
Der Hintertür-Fehler betrifft Zyxel USG, ATP, VPN, ZyWALL und USG FLEX-Geräte, die unter ZLD V4.60 Patch 0 Firmware laufen. Bemerkenswert ist, dass die statischen Anmeldedaten nur mit der letzten Firmware-Veröffentlichung eingeführt wurden. Ältere Versionen gelten als sicher.
Die Hintertür wurde im November 2020 identifiziert und von Zyxel behoben mit der Veröffentlichung von ZLD V4.60 Patch 1 am 18. Dezember 2020. Die Kunden werden dringend gebeten, ASAP Updates zu installieren, da die Hintertür aktiv verwendet wird, um Zyxel-Instanzen anzugreifen.
Um die mit dieser CVE-2020-29583verknüpfte bösartige Aktivität zu erkennen, laden Sie eine frische Sigma-Regel von unserem Threat Bounty Entwicklern Osman Demir:
https://tdm.socprime.com/tdm/info/ycyiDhX05DEF/MHmL5nYBR-lx4sDxXjJU/
Die Regel hat Übersetzungen zu den folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, Chronicle Security, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Taktiken: Persistenz
Techniken: Konto erstellen (T1136)
Suchen Sie nach den besten SOC-Inhalten, die zu Ihren Sicherheitslösungen passen? Holen Sie sich ein kostenloses Abonnement für den Threat Detection Marketplace und finden Sie mehr als 81.000 Inhalte, die mit der Mehrheit der SIEM-, EDR-, NTDR- und SOAR-Plattformen kompatibel sind. Zu Ihrem Komfort sind alle Einträge mit bestimmten CVEs, von APT-Gruppen verwendeten TTPs und mehreren MITRE ATT&CK®-Parametern versehen. Genießen Sie das Bedrohungsjagen und wollen Sie Ihre eigenen Sigma-Regeln entwickeln? Treten Sie unserem Threat Bounty Programm bei für eine sicherere Zukunft!
