CVE-2020-29583: Zyxel 제품의 비밀 백도어 취약점

위협 행위자들은 최근 발견된 Zyxel 비밀 백도어를 실세계에서 악용하고 있습니다. 업데이트가 설치되기 전에 취약한 설치를 신속히 찾아 기세를 올리려 하므로 패치할 시기가 되었습니다.

CVE-2020-29583 개요

The bug 는 수 of Zyxel 제품 에 an 문서화되지 않은 루트 계정 이용하여 하드코딩된 로그인 정보를 명확하게 in the 볼 수 있는 via 펌웨어 바이너리에. 최초에는, the 백도어 계정 가 사용자 이름 ‘zyfwp’ and a 암호 ‘PrOw!aN_fXp’ was 가 to 적용되어 업데이트를 to Zyxel’s 방화벽 and WLAN 컨트롤러. 로, 사이버–범죄자들이 악용할 수도 있으며 이를 사용하여 it to 관리자 권한을 얻고 on any Zyxel 설치에. 에서 그들은, 위협 행위자들은 are 내부로 to 침투할 수 있습니다 the 내부 환경을 or 결합하여 백도어 가 이와 같은 결함을 as Zerologon 를 함께 사용하여 the 대상으로 하는 자산으로.

비밀 백도어를 발견한 연구자는많은 Zyxel 사용자가 영향을 받을 수 있다고 생각합니다. SSL VPN 인터페이스와 웹 인터페이스가 동일한 포트를 사용하여 사람이 포트 443을 열어 두도록 하기 때문에 가능합니다. 전 세계적으로 약 10만 개의 설치가 노출될 수 있습니다.

비밀 백도어 감지 및 완화

이 백도어 버그는 ZLD V4.60 패치 0 펌웨어를 실행하는 Zyxel USG, ATP, VPN, ZyWALL, USG FLEX 장치에 영향을 미칩니다. 특히, 정적 자격 증명은 마지막 펌웨어 릴리스에서만 도입되었습니다. 이전 버전은 안전하다고 간주됩니다.

백도어는 2020년 11월에 식별되었습니다. Zyxel이 이를 해결하여 2020년 12월 18일에 ZLD V4.60 패치 1을 릴리스하였습니다. 고객은 ASAP로 업데이트를 도입해야 하며, 백도어는 적극적으로 Zyxel 인스턴스를 공격하는 데 사용되고 있습니다.

와 관련된 악의적인 활동을 감지하려면 CVE-2020-29583를 우리의 위협 현상금 개발자: 

https://tdm.socprime.com/tdm/info/ycyiDhX05DEF/MHmL5nYBR-lx4sDxXjJU/

규칙은 다음 플랫폼으로의 번역이 가능하다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, Chronicle Security, RSA NetWitness

EDR: Carbon Black

MITRE ATT&CK: 

전술: 지속성

기술: 계정 생성 (T1136)

귀하의 보안 솔루션에 적합한 최고의 SOC 콘텐츠를 검색하시겠습니까? 위협 탐지 마켓플레이스에 무료로 가입하고, 대다수 SIEM, EDR, NTDR 및 SOAR 플랫폼과 호환되는 81,000개 이상의 콘텐츠 항목을 찾으십시오. 모든 항목은 특정 CVE, APT 그룹이 사용한 TTP 및 다양한 MITRE ATT&CK® 매개변수로 태그가 달려 있습니다. 당신은 위협 헌팅을 즐기고 자체적으로 Sigma 규칙을 개발할 수 있습니까? to the Threat Detection Marketplace and find more than 81,000 content items compatible with the majority of SIEM, EDR, NTDR, and SOAR platforms. For your comfort, all items are tagged with particular CVE, TTPs used by APT groups, and multiple MITRE ATT&CK® parameters. Enjoy threat hunting and want to develop your own Sigma rules? 안전한 미래를 위해 위협 현상금 프로그램에 가입하십시오! for a safer future!