CVE-2020-29583: Vulnerabilidade de Backdoor Secreto em Produtos Zyxel
Índice:
Os agentes de ameaça exploram uma backdoor secreta recentemente descoberta da Zyxel em campo. É hora de corrigir, pois os adversários estão procurando instantaneamente por instalações vulneráveis para ganhar impulso antes que as atualizações sejam instaladas.
Visão Geral do CVE-2020-29583
The bug ocorre desde que um número of produtos da Zyxel incorporam an não documentada root conta aproveitando credenciais credenciais de login acessíveis in the em texto não criptografado via firmware binários. Inicialmente, the a backdoor conta com nome de usuário ‘zyfwp’ and a senha ‘PrOw!aN_fXp’ was aplicados to empurrar atualizações to produtos’s firewall and WLAN controladores. No entanto, ciber–criminosos podem aproveitar it to obter direitos de admin on any produtos instalação. De lá, os agentes de ameaça são capazes de are penetrar to ambiente the interno interno or combinar a backdoor com tais falhas as Zerologon para pivotar para the alvos ativos.
O pesquisador, que descobriu o backdoor secreto, considera que muitos usuários da Zyxel podem ser afetados. É possível, já que a interface SSL VPN e a interface web mantêm a mesma porta para operação, portanto, incentivando os clientes a deixar a porta 443 aberta. Aproximadamente 100.000 instalações ao redor do mundo podem estar expostas.
Detecção e Mitigação de Backdoor Secreta
O bug de backdoor afeta dispositivos Zyxel USG, ATP, VPN, ZyWALL e USG FLEX executando o firmware ZLD V4.60 Patch 0. Notavelmente, as credenciais estáticas foram introduzidas apenas com o último lançamento do firmware. Versões mais antigas são consideradas seguras.
A backdoor foi identificada em novembro de 2020 e abordada pela Zyxel com o lançamento do ZLD V4.60 Patch 1 em 18 de dezembro de 2020. Os clientes são instados a introduzir atualizações o mais rápido possível, pois a backdoor está sendo ativamente abusada para atacar instâncias da Zyxel.
Para detectar a atividade maliciosa associada ao CVE-2020-29583, sinta-se à vontade para baixar uma regra Sigma atualizada do nosso desenvolvedor de Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/ycyiDhX05DEF/MHmL5nYBR-lx4sDxXjJU/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, Chronicle Security, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Táticas: Persistência
Técnicas: Criar Conta (T1136)
Procurando pelo melhor conteúdo de SOC adequado para suas soluções de segurança? Obtenha uma assinatura gratuita para o Threat Detection Marketplace e encontre mais de 81.000 itens de conteúdo compatíveis com a maioria das plataformas SIEM, EDR, NTDR e SOAR. Para seu conforto, todos os itens são rotulados com CVEs específicos, TTPs usados por grupos APT e múltiplos parâmetros do MITRE ATT&CK®. Gosta de caçar ameaças e quer desenvolver suas próprias regras Sigma? Junte-se ao nosso Programa Threat Bounty para um futuro mais seguro!
