Según una empresa holandesa de ciberseguridad llamada Eye Control, piratas informáticos desconocidos han configurado cuentas de puerta trasera en más de 100 000 dispositivos de red Zyxel. Estos incluyen los dispositivos de protección ATP, USG, NXC y VPN, que tienen vulnerabilidades de puerta trasera para permitir que los piratas informáticos accedan a los dispositivos con privilegios de administrador. Los parches para la mayoría están disponibles.
Vulnerabilidad de puerta trasera en dispositivos Zyxel
Zyxel es un fabricante de dispositivos de red que tiene cuentas de puerta trasera codificadas en la mayoría de sus productos. Estos varían en un amplio rango como el la serie Advanced Threat Protection (ATP), la serie Unified Security Gateway (USG), y el Serie FLEX de USG.
También el Serie VPN y serie NXC Los dispositivos tienen puertas traseras que podrían permitir a los piratas informáticos acceder a los privilegios de nivel raíz de la máquina comprometida, ya sea a través de un panel de administración web o la interfaz SSH. Esto fue encontrado por investigadores de control de ojos, quien advirtió sobre los posibles ciberataques a partir de esto.
Lea también: 10 comandos de red de Windows que debe conocer
Todas las vulnerabilidades en esos dispositivos pueden ser explotadas por operadores de botnet DDoS o grupos de ransomware o incluso piratas informáticos de estados nacionales, para obtener acceso a la red central y explotarla aún más. Esto se vuelve más intrigante ya que la mayoría de los dispositivos son utilizados por empresas, y han estado en el borde de sus redes para dejar entrar a cualquier persona en caso de ser explotados.
Esto repite la escena de ataques anteriores a dispositivos de red similares como Fortinet, Citrix, Cisco, etc., que tenían clientes tanto de agencias privadas como gubernamentales. Zyxel tiene parches emitidos para dispositivos en ATP, USG, USG Flex, y serie VPNque revocaría la puerta trasera, y se esperan parches para la serie NXC en abril de este año.
Los investigadores también han descubierto las contraseñas de texto sin formato (zyfwp/PrOw!aN_fXp)
para estas puertas traseras de administración en los archivos binarios del sistema. Estas cuentas se usaron para instalar las actualizaciones de firmware en otros dispositivos Zyxel en la red a través de FTP.
Zyxel ha experimentado una incidente similar en 2016, y ahora otra vez. Esta vulnerabilidad recibió el código CVE de CVE-2020-29583 y es incluso más fácil que la vulnerabilidad pasada.
