Более 100 тысяч фаерволов и Vpn-шлюзов Zyxel содержали бэкдор

Более ста тысяч межсетевых экранов, VPN-шлюзов и контроллеров точек доступа от Zyxel содержали жестко закодированный административный бэкдор-аккаунт, который при случае мог открыть киберпреступникам root-доступ к устройствам через SSH-интерфейс или веб-панель администратора. Как сообщает Служба реагирования на компьютерные инциденты РК, опасную учетную запись обнаружили специалисты компании Eye Control, базирующейся в Нидерландах.

Владельцам всех затронутых устройств рекомендовали как можно скорее обновить их, поскольку уязвимость действительно крайне неприятная. Злоумышленники любого уровня — от операторов DDoS-ботнетов, до правительственных кибергруппировок и создателей шифровальщиков — могут использовать обнаруженный бэкдор-аккаунт для проникновения во внутренние сети. Среди уязвимых устройств есть популярные модели корпоративного уровня от Zyxel. Как правило, такие девайсы используются в частных организациях и правительственных сетях. Эксперты выделили следующие линейки продуктов, владельцам которых стоит опасаться бэкдора:

ATP-серия — используется преимущественно как межсетевой экран;
USG-серия — используется как гибрид файрвола и VPN-шлюза;
Серия USG FLEX — также используется как файрвол и VPN-шлюз;
VPN-серия — используется исключительно как VPN-шлюз;
NXC-серия — используется как контроллер точки доступа WLAN.

На сегодняшний день патчи готовы только для ATP, USG, USG Flex и VPN. Согласно официальному сообщению Zyxel, серия NXC получит обновление в апреле 2021 года. Как отметили исследователи из Eye Control, выявленный бэдор-аккаунт использовал имя пользователя «zyfwp» и пароль «PrOw! aN_fXp». Все выпущенные патчи закрывают этот недокументированный доступ.

Как отметили эксперты, пароль в виде открытого текста можно было найти в одном из системных бинарников. У аккаунта был root-доступ на устройстве, поскольку он использовался для установки обновлений прошивки.