หน้าแรก Networking & Wireless Access Point พบ Backdoor บนอุปกรณ์ไฟร์วอลล์และ AP ของ Zyxel นับแสนเครื่อง

พบ Backdoor บนอุปกรณ์ไฟร์วอลล์และ AP ของ Zyxel นับแสนเครื่อง

แบ่งปัน

อุปกรณ์ Zyxel นับแสนเครื่องกำลังมีช่องโหว่ที่อาจจะโดนฝังแบ็กดอร์ได้ จากรหัสผ่านที่ตีตราถาวรมาจากผู้ผลิตที่ใช้สำหรับอัปเดตเฟิร์มแวร์ทั้งบนไฟร์วอลล์และคอนโทรลเลอร์ AP ค้นพบโดย Niels Teusink จากบริษัทด้านความปลอดภัยชาวดัตช์ EYE

บัญชีแอดมินที่แอบฝังมาถาวรนี้มาพร้อมกับเฟิร์มแวร์ที่แพ็ตช์เวอร์ชั่น 4.60 บนอุปกรณ์ Zyxel บางรุ่น ซึ่งเป็นบัญชีผู้ใช้ลับที่ไม่ได้แสดงขึ้นมาบนอินเทอร์เฟซใช้งานของ Zyxel มีชื่อล็อกอินว่า ‘zyfwp’ และรหัสผ่านตายตัวแบบข้อความล้วนที่ไม่ได้เข้ารหัส

ด้วยเหตุผลด้านความปลอดภัย สำนักข่าวต่างๆ จึงไม่ได้เปิดเผยรหัสผ่านตัวนี้ออกมา ทั้งนี้ Teusink พบว่าบัญชีดังกล่าวอาจถูกนำไปใช้ในการล็อกอินเข้าอุปกรณ์ที่มีช่องโหว่ได้ทั้งผ่าน SSH และอินเทอร์เฟซหน้าเว็บ เป็นต้น

เนื่องจากอินเทอร์เฟซ SSL VPN ทำงานบนพอร์ตเดียวกันกับอินเทอร์เฟซหน้าเว็บที่ผู้ใช้หลายรายต่างก็เปิดอนุญาตการสื่อสารผ่านพอร์ต 443 เข้าออกอินเทอร์เน็ตด้วย โดยจากการสแกนผ่านระบบ Project Sonar ทำให้พบอุปกรณ์ที่ตกอยู่ในความเสี่ยงมากมาย

อันได้แก่ อุปกรณ์ USG/ATP/VPN ของ Zyxel ในเนเธอร์แลนด์จำนวนกว่า 3,000 เครื่อง รวมทั้งอุปกรณ์จำนวนมากกว่า 1 แสนเครื่องทั่วโลกที่เปิดให้เข้าถึงอินเทอร์เฟซหน้าเว็บจากอินเทอร์เน็ตได้ ซึ่งช่องโหว่บนอุปกรณ์ VPN นั้นถือว่ามีอันตรายอย่างมาก

ด้วยเหตุผลที่ว่า ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการสร้างบัญชีวีพีเอ็นใหม่เพื่อเข้าถึงเครือข่ายภายใน หรือร้ายแรงกว่านั้นคือการสร้างกฎฟอร์เวิร์ดพอร์ตที่เปิดให้เข้าถึงบริการภายในได้แบบสาธารณะ เปลี่ยนการตั้งค่าไฟร์วอลล์ได้ดังใจ

ทั้งการเปิดอนุญาตหรือปิดกั้นทราฟิกต่างๆ ไปจนถึงเข้าดูข้อมูลบนทราฟิกเข้าออก ยิ่งถ้าผู้โจมตีใช้ช่องโหว่นี้ร่วมกับช่องโหว่เดิมอย่าง Zerologon ย่อมหมายถึงหายนะสำหรับธุรกิจขนาดเล็กและขนาดกลางอย่างไม่ต้องสงสัย

สำหรับรุ่นต่างๆ ที่โดนผลกระทบอยู่ตามตารางดังนี้

Affected product series Patch available in
Firewalls
ATP series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dec. 2020
USG series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dec. 2020
USG FLEX series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dec. 2020
VPN series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dec. 2020
AP controllers
NXC2500 V6.10 Patch1 in April 2021
NXC5500 V6.10 Patch1 in April 2021

 

ที่มา : Bleepingcomputer