|
Zyxel 방화벽 및 AP 컨트롤러에서 발견된 비밀 백도어 침해사고분석팀 2021.01.04 |
|
|
100,000대 이상의 Zyxel 장치는 방화벽 및 AP 컨트롤러의 펌웨어를 업데이트하는 데 사용되는 하드 코딩된 자격 증명으로 인해 비밀 백도어에 취약할 수 있다.
네덜란드 사이버 보안 회사인 EYE의 Niels Teusink는 일부 Zyxel 장치의 최신 4.60 패치 0 펌웨어에서 비밀 하드코딩된 관리 계정을 발견했다.
$ ssh zyfwp@192.168.1.252 Password: Pr ******* Xp Router> show users current No: 1 Name: zyfwp Type: admin (...) Router>
이 계정은 Zyxel 사용자 인터페이스에 표시되지 않으며 로그인 이름인 'zyfwp'이고 정적 일반 텍스트 패스워드를 가지고 있다.
Teusink는 SSH와 웹 인터페이스를 통해 취약한 장치에 로그인하는 데 해당 계정을 사용할 수 있음을 발견했다.
SSL VPN 인터페이스가 웹 인터페이스와 동일한 포트에서 작동하기 때문에 Teusink는 많은 사용자가 인터넷에서 포트 443에 액세스할 수 있도록 허용했다.
"이러한 장치의 SSL VPN은 웹 인터페이스와 동일한 포트에서 작동하므로 많은 사용자가 이러한 장치의 포트 443을 인터넷에 노출했다. Project Sonar의 공개 데이터를 사용하여 네덜란드에서 약 3,000개의 Zyxel USG/ATP/VPN 디바이스를 식별할 수 있었다. 전 세계적으로 100,000개 이상의 장치가 그들의 웹 인터페이스를 인터넷에 노출시켰다."라고 Teusink는 보도했다.
VPN 장치 취약점은 내부 네트워크에 대한 액세스 권한을 얻기 위해 새 VPN 계정을 생성하거나 내부 서비스를 공개적으로 액세스할 수 있도록 포트 전달 규칙을 생성하는 데 사용될 수 있으므로 매우 위험하다.
"예를 들어 다른 사용자가 방화벽 설정을 변경하여 특정 트래픽을 허용하거나 차단할 수 있다. 또한 트래픽을 가로 채거나 VPN 계정을 생성하여 장치 뒤에 있는 네트워크에 액세스할 수 있다. Zerologon과 같은 취약점과 결합하면 중소기업에 엄청난 피해를 줄 수 있다."라고 Teusink는 경고했다.
이러한 유형의 취약점은 Pulse Secure, Fortinet 및 Citrix Netscaler VPN 취약점을 악용하여 랜섬웨어를 배포하거나 내부 기업 네트워크를 손상시켜 데이터를 도용하는 것으로 알려진 위협 행위자들 사이에서 가장 선호하는 유형이 되었다.
영향을 받는 장치의 관리자는 가능한 한 빨리 장치를 최신 펌웨어로 업그레이드해야 한다.
Zyxel, 방화벽 용 새 펌웨어 출시
권고에서 Zyxel은 EYE의 공개에 감사하며 하드 코딩된 자격 증명을 사용하여 FTP를 통해 자동 펌웨어 업데이트를 제공한다고 밝혔다.
"일부 Zyxel 방화벽 및 AP 컨트롤러의 "zyfwp" 사용자 계정에서 하드 코딩된 자격 증명 취약점이 발견되었다. 이 계정은 FTP를 통해 연결된 액세스 지점에 자동 펌웨어 업데이트를 제공하도록 설계되었다."라고 권고에서 전했다.
Zyxel은 취약한 ATP, USG, USG Flex 및 VPN 장치에서 하드 코딩된 자격 증명을 제거하기 위해 ZLD V4.60 패치 1을 출시했다.
Zyxel은 이전 펌웨어 또는 SD-OS를 사용하는 ATP, USG, USG FLEX 및 VPN 방화벽은 영향을 받지 않는다고 말했다.
NXCAP 컨트롤러용 패치는 2021년 4월에 출시될 예정이다.
출처 https://www.bleepingcomputer.com/news/security/secret-backdoor-discovered-in-zyxel-firewall-and-ap-controllers/ |
