CVE-2020-29583: Secret Backdoor Vulnerability in Zyxel Products

脅威アクターが野外で最近発見されたZyxelの秘密のバックドアを悪用しています。アップデートがインストールされる前に、対策を講じて脆弱なインストールを攻撃するために敵が迅速に探しているため、早急にパッチを適用することが重要です。

CVE-2020-29583 概要

The bug が発生します。なぜなら 多くの of Zyxel 製品が 非公開の an ルート アカウント を活用した ハードコーディングされた ログイン の詳細情報を クリアテキストでアクセス可能として accessible in the いるからです。 via ファームウェア バイナリに. 最初に, the バックドア を活用した は、 ユーザー名 ‘zyfwp’ and a とパスワード ‘PrOw!aN_fXp’ was が適用された to 後に、更新が プッシュされました。 to Zyxel’s ファイアウォール and WLAN コントローラに。. しかしながら, サイバー–犯罪者が 利用して 管理者 it to 権限を 得る可能性があります。 インストール on any Zyxel から. そこから 脅威, アクターは 内部 are 環境に to 侵入できる the ようになります。 環境と or 組み合わせて バックドア は、 このような 欠陥と as Zerologon にピボットして the ターゲットにされた 資産に到達します。.

秘密のバックドアを発見した研究者は、多くのZyxelユーザーが影響を受ける可能性が高いと考えています。SSL VPNインターフェースとウェブインターフェースが同じポートで運用されているため、多くの顧客がポート443を開けておく必要がある可能性があるからです。世界中で約100,000のインストールが露出されている可能性があります。 発見した 秘密のバックドアは多くのZyxelユーザーに影響を与えるとみなされます。SSL VPNインターフェースとWebインターフェースが同じポートで操作されるため、顧客がポート443を開けておく状況に繋がってしまい、およそ10万のインストールが世界中で露出されることになります。

秘密のバックドア検出と緩和

このバックドアのバグは、ZyxelのUSG、ATP、VPN、ZyWALL、およびUSG FLEXデバイスでZLD V4.60パッチ0ファームウェアを実行している場合に影響します。特に静的な認証情報は、最後のファームウェアリリースでのみ導入されています。以前のバージョンは安全とされています。

このバックドアは2020年11月に確認され、 Zyxelによって 2020年12月18日にリリースされたZLD V4.60パッチ1で対策されました。バックドアがZyxelのインスタンスに攻撃を行うために活発に悪用されているため、顧客はできる限り早くアップデートを導入するよう求められています。

に関連する悪意のある活動を検出するために、 CVE-2020-29583、最新のSigmaルールをThreat Bounty開発者からダウンロードしてください Osman Demir：

https://tdm.socprime.com/tdm/info/ycyiDhX05DEF/MHmL5nYBR-lx4sDxXjJU/

このルールは次のプラットフォームに翻訳されています：

SIEM：Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, Chronicle Security, RSA NetWitness

EDR：Carbon Black

MITRE ATT&CK：

戦術：持続性

技術：アカウント作成 (T1136)

セキュリティソリューションに最適なSOCコンテンツを探していますか？ 無料会員登録 して、Threat Detection Marketplaceで81,000を超えるコンテンツ項目を見つけ、ほとんどのSIEM、EDR、NTDR、そしてSOARのプラットフォームとの互換性をチェックしてください。あなたの快適さのために、全てのアイテムには特定のCVE、APTグループが使用するTTP、および複数のMITRE ATT&CK®パラメータがタグ付けされています。脅威の検出を楽しみながら自分のSigmaルールを開発したいですか？ 私たちのThreat Bounty Programに参加して 安全な未来を作りましょう！