CVE-2020-29583 : Vulnérabilité de Porte Dérobée Secrète dans les Produits Zyxel
Table des matières :
Les acteurs malveillants exploitent une porte dérobée secrète récemment découverte dans Zyxel à l’état sauvage. Il est grand temps de corriger, car les adversaires recherchent instantanément des installations vulnérables pour gagner du terrain avant que les mises à jour ne soient installées.
Vue d’ensemble de CVE-2020-29583
The bug se produit car un nombre of produits Zyxel intègrent des comptes an undocumented root non documentés en utilisant des identifiants codés en dur accessibles en clair in the du firmware via des binaires binaries. Initialement, the la porte dérobée non documentés avec le nom d’utilisateur ‘zyfwp’ and a mot de passe ‘PrOw!aN_fXp’ was s’applique to pousser les mises à jour to produits Zyxel’s pare-feu and contrôleurs contrôleurs. Cependant, les cybercriminels–peuvent utiliser tirer parti de it to obtenir des droits des droits on any produits Zyxel installation. À partir de là, les acteurs de la menace peuvent are pénétrer to l’environnement the interne combiner or telles la porte dérobée avec failles pour pivoter vers as pour pivoter vers les actifs ciblés the targeted actifs.
Le chercheur, qui a découvert la portesecrète, considère que de nombreux utilisateurs de Zyxel pourraient être affectés. C’est possible car l’interface SSL VPN et l’interface Web gardent le même port pour le fonctionnement, poussant ainsi les clients à laisser le port 443 ouvert. Environ 100 000 installations dans le monde entier pourraient être exposées.
Détection et atténuation de la porte dérobée secrète
Le bug de la porte dérobée affecte les appareils Zyxel USG, ATP, VPN, ZyWALL et USG FLEX exécutant le firmware ZLD V4.60 Patch 0. Notamment, les identifiants statiques ont été introduits uniquement avec la dernière version du firmware. Les versions antérieures sont considérées comme sûres.
La porte dérobée a été identifiée en novembre 2020 et adressée par Zyxel avec la sortie de ZLD V4.60 Patch 1 le 18 décembre 2020. Les clients sont urgés à introduire des mises à jour dès que possible, car la porte dérobée est activement exploitée pour attaquer les instances Zyxel.
Pour détecter l’activité malveillante associée à CVE-2020-29583, veuillez télécharger une nouvelle règle Sigma de notre développeur Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/ycyiDhX05DEF/MHmL5nYBR-lx4sDxXjJU/
La règle a des traductions vers les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, Chronicle Security, RSA NetWitness
EDR : Carbon Black
MITRE ATT&CK:
Tactiques : Persistance
Techniques : Créer un compte (T1136)
Vous cherchez le meilleur contenu SOC adapté à vos solutions de sécurité ? Obtenez un abonnement gratuit au Threat Detection Marketplace et trouvez plus de 81 000 éléments de contenu compatibles avec la majorité des plateformes SIEM, EDR, NTDR et SOAR. Pour votre confort, tous les éléments sont étiquetés avec des CVE particuliers, des TTP utilisés par les groupes APT et plusieurs paramètres MITRE ATT&CK®. Vous aimez la chasse aux menaces et souhaitez développer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty pour un avenir plus sûr !
