Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Encuentran una cuenta de usuario indocumentada en el firmware de productos Zyxel




Si tienes un dispositivo de red Zyxel USG, ATP, VPN, ZyWALL o USG FLEX, debes actualizar a la última versión de firmware. Puede encontrar la lista completa de dispositivos afectados y el aviso de Zyxel. Vulnerabilidad crítica. Utilizaron esta información para identificar la versión de firmware de 1.000 dispositivos en los Países Bajos y descubrimos que alrededor del 10% de los dispositivos ejecutan la versión de firmware afectada Debido a la gravedad de la vulnerabilidad y a que es tan fácil de explotar, hemos decidido no divulgar la contraseña de esta cuenta en este momento.




Cuenta de usuario indocumentada en productos Zyxel (CVE-2020-29583)

Zyxel es una marca popular de firewalls que se comercializa para pequeñas y medianas empresas. Su línea de productos Unified Security Gateway (USG) se utiliza a menudo como firewall o puerta de enlace VPN. Como muchos de nosotros trabajamos desde casa, los dispositivos con capacidad VPN se han vendido bastante últimamente.

Zyxel undocumented account (CVE-2020-29583) details 

 Username: zyfwp 

Password: PrOw!aN_fXp


Al investigar un poco en un Zyxel USG40, se sorprendió encontrar una cuenta de usuario 'zyfwp' con un hash de contraseña en la última versión de firmware (4.60 parche 0). La contraseña de texto sin formato estaba visible en uno de los binarios del sistema. Se sorprendió aún más que esta cuenta pareciera funcionar tanto en SSH como en la interfaz web.


$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1

  Name: zyfwp
  Type: admin
(...)

Router>

El usuario no está visible en la interfaz y su contraseña no se puede cambiar. Verificó la versión de firmware anterior (4.39) y aunque el usuario estaba presente, no tenía contraseña. Parecía que la vulnerabilidad se había introducido en la última versión de firmware. Aunque las versiones anteriores no tienen esta vulnerabilidad, tienen otras (como este desbordamiento de búfer), por lo que aún debe actualizar.

Como SSL VPN en estos dispositivos opera en el mismo puerto que la interfaz web, muchos usuarios han expuesto el puerto 443 de estos dispositivos a Internet. Utilizando los datos disponibles públicamente del Proyecto Sonar, pude identificar alrededor de 3.000 dispositivos Zyxel USG / ATP / VPN en los Países Bajos. A nivel mundial, más de 100.000 dispositivos han expuesto su interfaz web a Internet.

En nuestra experiencia, la mayoría de los usuarios de estos dispositivos no actualizarán el firmware con mucha frecuencia. Los dispositivos Zyxel no exponen su versión de firmware a usuarios no autenticados, por lo que determinar si un dispositivo es vulnerable es un poco más difícil. Queríamos tener una idea de la cantidad de dispositivos afectados, pero simplemente probar la contraseña no es realmente una opción (ética y legalmente). Afortunadamente, algunos archivos javascript y css se pueden solicitar desde la interfaz web de estos dispositivos sin autenticación. Estos archivos parecen cambiar con cada versión de firmware. Con esta información, podemos obtener una huella digital única de la versión de firmware vulnerable. Utilizamos esta información para identificar la versión de firmware de 1.000 dispositivos en los Países Bajos y descubrimos que alrededor del 10% de los dispositivos ejecutan la versión de firmware afectada. Zyxel ofrece actualizaciones automáticas, pero estas no están habilitadas de forma predeterminada. Afortunadamente, pudimos encontrar esta vulnerabilidad solo unas semanas después de su introducción, o la cantidad de dispositivos afectados podría haber sido mucho mayor.

Como el usuario de zyfwp tiene privilegios de administrador, esta es una vulnerabilidad grave. Un atacante podría comprometer por completo la confidencialidad, integridad y disponibilidad del dispositivo. Alguien podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico. También podrían interceptar el tráfico o crear cuentas VPN para obtener acceso a la red detrás del dispositivo. Combinado con una vulnerabilidad como Zerologon, esto podría ser devastador para las pequeñas y medianas empresas.

Debido a la gravedad de la vulnerabilidad y a que es tan fácil de explotar, hemos decidido no divulgar la contraseña de esta cuenta en este momento. Esperamos que otros lo encuentren y lo publiquen, por lo que le sugerimos que instale el firmware actualizado lo antes posible.

Rápidamente envié un correo a Zyxel para reportar la cuenta de usuario indocumentado. Según Zyxel, la cuenta fue diseñada para entregar actualizaciones automáticas de firmware para puntos de acceso a través de FTP. Lanzaron una versión de firmware fija menos de dos semanas después. Puede encontrar las notas de la versión del USG40 aquí.


Esta es la entrada en las notas de la versión que describe esta vulnerabilidad:


[CORRECCIÓN DE ERROR] [CVE-2020-29583]

a. Corrección de vulnerabilidad para cuenta de usuario indocumentada.

Cronograma de divulgación

  • 2020-11-29: EYE informa vulnerabilidad a la seguridad de Zyxel
  • 2020-11-30: Zyxel acuse de recibo
  • 2020-12-02: Zyxel solicita más información sobre cómo se descubrió la vulnerabilidad
  • 2020-12-03: EYE envía más detalles
  • 2020-12-08: Zyxel lanza el firmware beta 4.60-WK48 y elimina la versión de firmware vulnerable de su sitio
  • 2020-12-15: Zyxel lanza el firmware 4.60 parche 1 para la mayoría de los dispositivos
  • 2020-12-18: Zyxel lanza el firmware 4.60 parche 1 para todos los dispositivos restantes
  • 2020-12-23: Zyxel publica un aviso
Fuente:


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.