CVE-2020-29583: Vulnerabilidad de Puerta Trasera Secreta en Productos Zyxel
Tabla de contenidos:
Los actores de amenazas explotan una puerta trasera secreta recientemente descubierta de Zyxel en el mundo real. Es crucial aplicar parches ya que los adversarios están buscando instantáneamente instalaciones vulnerables para ganar impulso antes de que se instalen actualizaciones.
Resumen de CVE-2020-29583
The bug ocurre desde que un número of productos incorporan no documentada an undocumented raíz cuenta aprovechando incrustadas credenciales de inicio de sesión detalles accesibles in the en texto claro via firmware binarios. Inicialmente, the puerta trasera cuenta con nombre de usuario ‘zyfwp’ and a contraseña ‘PrOw!aN_fXp’ was aplicada to impulsan actualizaciones to productos’s firewall and WLAN controladores. Sin embargo, ciber–delincuentes pueden aprovechar it to obtener administrador derechos on any productos instalación. Desde allí, amenaza actores are capaces to penetrar the interno entorno or combinan puerta trasera con tales fallas as Zerologon para pivotar a the objetivos activos.
El investigador, quien descubrió la puerta trasera secreta,considera que muchos usuarios de Zyxel podrían estar afectados. Es posible ya que la interfaz VPN SSL y la interfaz web mantienen el mismo puerto para operar, empujando así a los clientes a dejar el puerto 443 abierto. Aproximadamente 100,000 instalaciones alrededor del mundo podrían estar expuestas.
Detección y Mitigación de la Puerta Trasera Secreta
El bug de la puerta trasera afecta a los dispositivos Zyxel USG, ATP, VPN, ZyWALL y USG FLEX que ejecutan el firmware ZLD V4.60 Patch 0. Notablemente, las credenciales estáticas han sido integradas solo con la última versión del firmware. Las versiones anteriores se consideran seguras.
La puerta trasera fue identificada en noviembre de 2020 y manipulada por Zyxel con la liberación del ZLD V4.60 Patch 1 el 18 de diciembre de 2020. Se insta a los clientes a introducir actualizaciones lo antes posible ya que la puerta trasera está siendo activamente explotada para atacar instancias de Zyxel.
Para detectar la actividad maliciosa asociada con CVE-2020-29583, sea bienvenido a descargar una nueva regla Sigma de nuestro desarrollador de Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/ycyiDhX05DEF/MHmL5nYBR-lx4sDxXjJU/
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, Chronicle Security, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Tácticas: Persistencia
Técnicas: Crear Cuenta (T1136)
¿Busca el mejor contenido SOC adecuado para sus soluciones de seguridad? Obtenga una suscripción gratuita al Marketplace de Detección de Amenazas y encuentre más de 81,000 elementos de contenido compatibles con la mayoría de las plataformas SIEM, EDR, NTDR y SOAR. Para su comodidad, todos los elementos están etiquetados con un CVE particular, TTPs usados por grupos APT y múltiples parámetros de MITRE ATT&CK®. ¿Disfruta de la caza de amenazas y quiere desarrollar sus propias reglas Sigma? Únase a nuestro Programa de Recompensas de Amenazas ¡por un futuro más seguro!
