Hace pocos dias se dio a conocer la detección de una vulnerabilidad de seguridad grave en firewalls, puertas de enlace de redes privadas virtuales y controladores de puntos de acceso fabricados por Zyxel Communications Corp.
Se detalla que el mes pasado, investigadores de seguridad de la firma holandesa de ciberseguridad Eye Control documentaron el caso y mencionan que la vulnerabilidad afecta a más de 100.000 dispositivos fabricados por la compañía.
La vulnerabilidad implica que los dispositivos tienen un backdoor de nivel administrativo codificada que puede otorgar a los atacantes acceso de root a los dispositivos con SSH o un panel de administración web.
Dado el nombre de usuario y la contraseña codificados, los piratas informáticos pueden obtener acceso a las redes utilizando dispositivos Zyxel.
«Alguien podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico», afirma el investigador de Eye Control Niels Teusink. «También podrían interceptar el tráfico o crear cuentas de VPN para obtener acceso a la red detrás del dispositivo».
La vulnerabilidad se encuentra en los dispositivos de las series ATP, USG, USG Flex, VPN y NXC de Zyxel.
Si bien no es un nombre familiar, Zyxel es una empresa con sede en Taiwán que fabrica dispositivos de red utilizados principalmente por pequeñas y medianas empresas.
De hecho, la empresa tiene una lista sorprendentemente notable de novedades: fue la primera empresa del mundo en diseñar un módem ISDN analógico/digital, la primera con una puerta de enlace ADSL2 + y la primera en ofrecer un firewall personal portátil del tamaño de la palma de la mano, entre otros logros.
Sin embargo, esta no es la primera vez que se encuentran vulnerabilidades en los dispositivos Zyxel. Un estudio del Fraunhofer Institute for Communication en julio nombró a Zyxel junto con AsusTek Computer Inc., Netgear Inc., D-Link Corp., Linksys, TP-Link Technologies Co. Ltd. y AVM Computersysteme Vertriebs GmbH por tener un rango de seguridad cuestiones.
De acuerdo a los representantes de la empresa Zyxel, el backdoor no era una consecuencia de la actividad maliciosa de los atacantes de terceros, pero era una función regular utilizada para descargar automáticamente actualizaciones de firmware a través de FTP.
Cabe señalar que la contraseña predefinida no estaba encriptada y los investigadores de seguridad de Eye Control la notaron al examinar los fragmentos de texto encontrados en la imagen del firmware.
En la base de usuarios, la contraseña se almacenaba en forma de hash y la cuenta adicional se excluía de la lista de usuarios, pero uno de los archivos ejecutables contenía la contraseña en texto sin cifrar Zyxel fue informado del problema a finales de noviembre y solucionó parcialmente.
Los cortafuegos ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX y VPN de Zyxel, así como los controladores de punto de acceso NXC2500 y NXC5500 se ven afectados.
Zyxel ha abordado la vulnerabilidad, denominada formalmente CVE-2020-29583, en un aviso y ha publicado un parche para solucionar el problema. En el aviso, la compañía señaló que la cuenta de usuario codificada «zyfwp» fue diseñada para entregar actualizaciones automáticas de firmware a los puntos de acceso conectados a través de FTP.
El problema en los firewalls se solucionó en la actualización de firmware V4.60 Patch1 (se afirma que la contraseña predefinida apareció solo en el firmware V4.60 Patch0, y las versiones de firmware más antiguas no se ven afectadas por el problema, pero existen otras vulnerabilidades en el firmware anterior a través de las cuales se pueden atacar los dispositivos).
En los hotspots, la solución se incluirá en la actualización V6.10 Patch1 programada para abril de 2021. Se recomienda a todos los usuarios de dispositivos con problemas que actualicen inmediatamente el firmware o cierren el acceso a los puertos de red a nivel del firewall.
El problema se agrava por el hecho de que el servicio VPN y la interfaz web para la gestión del dispositivo aceptan por defecto conexiones en el mismo puerto de red 443, razón por la cual muchos usuarios dejaron abierto el 443 para solicitudes externas y, así, además del punto de conexión VPN, dejaron y la capacidad de iniciar sesión en la interfaz web.
Según estimaciones preliminares, más de 100 mil dispositivos que contienen el backdoor identificado están disponibles en la red para conectarse a través del puerto de red 443.
Se recomienda a los usuarios de los dispositivos Zyxel afectados que instalen las actualizaciones de firmware correspondientes para una protección óptima.
Fuente: desdelinux
