Gli attori delle minacce sfruttano una backdoor segreta di Zyxel recentemente scoperta in libertà. È giunto il momento di applicare le patch poiché gli avversari cercano istantaneamente installazioni vulnerabili per prendere slancio prima che gli aggiornamenti vengano installati.
Panoramica di CVE-2020-29583
The bug si verifica poiché un numero of prodotti Zyxel incorporano incorporate an un account root sfruttando credenziali di accesso codificate accessibili in the in chiaro via nel firmware binari. Inizialmente, the la backdoor root con username ‘zyfwp’ and a password ‘PrOw!aN_fXp’ was applicata to agli aggiornamenti del firewall to prodotti Zyxel’s controller and controller però. i cyber, criminali–potrebbero sfruttare per ottenere it to di amministrazione i diritti installazione on any prodotti Zyxel Da. lì gli attori, della minaccia possono are penetrare to nell’ambiente the interno combinare or tali la backdoor con vulnerabilità per spostarsi verso as per spostarsi verso asset the mirati Il ricercatore, che.
scoperto la backdoor segreta, considera che molti utenti Zyxel potrebbero essere colpiti. È possibile poiché l’interfaccia SSL VPN e l’interfaccia web mantengono la stessa porta per l’operazione, spingendo così i clienti a lasciare la porta 443 aperta. Circa 100.000 installazioni in tutto il mondo potrebbero essere esposte. the secret backdoor, considers that many Zyxel users might be affected. It is possible since the SSL VPN interface and the web interface keep the same port for operation, thus, pushing customers to leave port 443 open. Approximately 100 000 installations around the globe might be exposed.
Rilevamento e mitigazione della backdoor segreta
Il bug della backdoor colpisce i dispositivi Zyxel USG, ATP, VPN, ZyWALL e USG FLEX che eseguono il firmware ZLD V4.60 Patch 0. In particolare, le credenziali statiche sono state introdotte solo con l’ultima versione del firmware. Le versioni più vecchie sono considerate sicure.
La backdoor è stata identificata a novembre 2020 e affrontata da Zyxel con il rilascio di ZLD V4.60 Patch 1 il 18 dicembre 2020. Si esorta i clienti a introdurre gli aggiornamenti il prima possibile poiché la backdoor è attivamente sfruttata per attaccare le istanze Zyxel.
Per rilevare l’attività malevola associata a CVE-2020-29583, sei invitato a scaricare una nuova regola Sigma dal nostro sviluppatore di Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/ycyiDhX05DEF/MHmL5nYBR-lx4sDxXjJU/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, Chronicle Security, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Tattiche: Persistenza
Tecniche: Creare Account (T1136)
Cerchi il miglior contenuto SOC adatto alle tue soluzioni di sicurezza? Ottieni un abbonamento gratuito al Threat Detection Marketplace e trova più di 81.000 elementi di contenuto compatibili con la maggior parte delle piattaforme SIEM, EDR, NTDR e SOAR. Per la tua comodità, tutti gli elementi sono etichettati con CVE particolari, TTP utilizzati dai gruppi APT e molteplici parametri MITRE ATT&CK®. Ti piace il threat hunting e vuoi sviluppare le tue regole Sigma? Unisciti al nostro programma Threat Bounty per un futuro più sicuro!
