Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
diciembre
(Total:
46
)
- Lo más buscado en Google España en 2020
- Robo de datos de clientes de T-Mobile: expuestos n...
- Secuestro de Google Docs usando función capturar p...
- Kawasaki informa de un "acceso no autorizado" y un...
- Roban 615.000 credenciales de inicio de sesión med...
- Piratas informáticos rusos accedieron a las cuenta...
- Electrodomésticos Whirlpool afectado por un ataque...
- Encuentran una cuenta de usuario indocumentada en ...
- Cifrar un pendrive USB (proteger pendrive o disco ...
- Detectada una nueva campaña de phishing para Andro...
- El Papa Francisco da por segunda vez un "me gusta"...
- Configuración de una VPN con OpenVPN
- Norcoreanos intentan robar la investigación de la ...
- Encuentran nuevos fallos en el 5G que permiten geo...
- Utilizan la misma dirección IP para subir película...
- Zoom está siendo investigada por su seguridad, pri...
- Qubes OS, uno de los sistemas operativos más segur...
- Microsoft, Google, Cisco y otros presentan un escr...
- Los iPhones de 36 periodistas fueron espiados util...
- Ciberdelincuentes atacan cadenas de suministros de...
- Ransomware DoppelPaymer acosa a las víctimas que s...
- Ministros de la UE exigen cifrado en comunicacione...
- Filtran datos de ordenadores a través de la RAM co...
- Rusia estaría detrás del ataque (Orion de SolarWin...
- Hackean Sistema de marketing de Subway UK
- 115 mil alumnos sin clase por un ciberataque de ra...
- Exingeniero de Cisco condenado a prisión por elimi...
- Funciones avanzadas y opciones de seguridad en Wha...
- AIO 2021 - Compilación herramientas análisis y des...
- La Agencia Europea del Medicamento anuncia que ha ...
- Empresa de ciberseguridad FireEye sufre un hackeo ...
- Amnesia: 33 errores del protocolo TCP/IP
- Ejecución remota de código (RCE) en Microsoft Teams
- Kaspersky publica TinyCheck, herramienta capturar ...
- Arreglada vulnerabilidad crítica (RCE) en PlayStat...
- HDMI vs DisplayPort vs ThunderBolt
- Vulnerabilidad en librería Google Play Core expone...
- Actualizaciones de seguridad para VMWare (Windows-...
- Filtración de 243 millones de registros médicos en...
- Qualcomm anuncia el procesador Snapdragon 888
- Ataque del ransomware Conti a la empresa Advantech...
- Publican detalles exploit WiFi 'Wormable', que sin...
- Estafan, suplantando el e-mail del jefe, más de 9 ...
- Investigadores encuentran evidencia de espionaje t...
- Arrestan 3 estafadores nigerianos por atacar a mil...
- Raspberry Pi 4 Model B+ - Qué modelo comprar - Asu...
- ► septiembre (Total: 21 )
-
▼
diciembre
(Total:
46
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Encuentran una cuenta de usuario indocumentada en el firmware de productos Zyxel
Si tienes un dispositivo de red Zyxel USG, ATP, VPN, ZyWALL o USG FLEX, debes actualizar a la última versión de firmware. Puede encontrar la lista completa de dispositivos afectados y el aviso de Zyxel. Vulnerabilidad crítica. Utilizaron esta información para identificar la versión de firmware de 1.000 dispositivos en los Países Bajos y descubrimos que alrededor del 10% de los dispositivos ejecutan la versión de firmware afectada Debido a la gravedad de la vulnerabilidad y a que es tan fácil de explotar, hemos decidido no divulgar la contraseña de esta cuenta en este momento.
Cuenta de usuario indocumentada en productos Zyxel (CVE-2020-29583)
Zyxel es una marca popular de firewalls que se comercializa para pequeñas y medianas empresas. Su línea de productos Unified Security Gateway (USG) se utiliza a menudo como firewall o puerta de enlace VPN. Como muchos de nosotros trabajamos desde casa, los dispositivos con capacidad VPN se han vendido bastante últimamente.
Zyxel undocumented account (CVE-2020-29583) details
Username: zyfwp
Password: PrOw!aN_fXp
Al investigar un poco en un Zyxel USG40, se sorprendió encontrar una cuenta de usuario 'zyfwp' con un hash de contraseña en la última versión de firmware (4.60 parche 0). La contraseña de texto sin formato estaba visible en uno de los binarios del sistema. Se sorprendió aún más que esta cuenta pareciera funcionar tanto en SSH como en la interfaz web.
$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1Name: zyfwp
Type: admin
(...)Router>
El usuario no está visible en la interfaz y su contraseña no se puede cambiar. Verificó la versión de firmware anterior (4.39) y aunque el usuario estaba presente, no tenía contraseña. Parecía que la vulnerabilidad se había introducido en la última versión de firmware. Aunque las versiones anteriores no tienen esta vulnerabilidad, tienen otras (como este desbordamiento de búfer), por lo que aún debe actualizar.
Como SSL VPN en estos dispositivos opera en el mismo puerto que la interfaz web, muchos usuarios han expuesto el puerto 443 de estos dispositivos a Internet. Utilizando los datos disponibles públicamente del Proyecto Sonar, pude identificar alrededor de 3.000 dispositivos Zyxel USG / ATP / VPN en los Países Bajos. A nivel mundial, más de 100.000 dispositivos han expuesto su interfaz web a Internet.
En nuestra experiencia, la mayoría de los usuarios de estos dispositivos no actualizarán el firmware con mucha frecuencia. Los dispositivos Zyxel no exponen su versión de firmware a usuarios no autenticados, por lo que determinar si un dispositivo es vulnerable es un poco más difícil. Queríamos tener una idea de la cantidad de dispositivos afectados, pero simplemente probar la contraseña no es realmente una opción (ética y legalmente). Afortunadamente, algunos archivos javascript y css se pueden solicitar desde la interfaz web de estos dispositivos sin autenticación. Estos archivos parecen cambiar con cada versión de firmware. Con esta información, podemos obtener una huella digital única de la versión de firmware vulnerable. Utilizamos esta información para identificar la versión de firmware de 1.000 dispositivos en los Países Bajos y descubrimos que alrededor del 10% de los dispositivos ejecutan la versión de firmware afectada. Zyxel ofrece actualizaciones automáticas, pero estas no están habilitadas de forma predeterminada. Afortunadamente, pudimos encontrar esta vulnerabilidad solo unas semanas después de su introducción, o la cantidad de dispositivos afectados podría haber sido mucho mayor.
Como el usuario de zyfwp tiene privilegios de administrador, esta es una vulnerabilidad grave. Un atacante podría comprometer por completo la confidencialidad, integridad y disponibilidad del dispositivo. Alguien podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico. También podrían interceptar el tráfico o crear cuentas VPN para obtener acceso a la red detrás del dispositivo. Combinado con una vulnerabilidad como Zerologon, esto podría ser devastador para las pequeñas y medianas empresas.
Debido a la gravedad de la vulnerabilidad y a que es tan fácil de explotar, hemos decidido no divulgar la contraseña de esta cuenta en este momento. Esperamos que otros lo encuentren y lo publiquen, por lo que le sugerimos que instale el firmware actualizado lo antes posible.
Rápidamente envié un correo a Zyxel para reportar la cuenta de usuario indocumentado. Según Zyxel, la cuenta fue diseñada para entregar actualizaciones automáticas de firmware para puntos de acceso a través de FTP. Lanzaron una versión de firmware fija menos de dos semanas después. Puede encontrar las notas de la versión del USG40 aquí.
Esta es la entrada en las notas de la versión que describe esta vulnerabilidad:
[CORRECCIÓN DE ERROR] [CVE-2020-29583]
a. Corrección de vulnerabilidad para cuenta de usuario indocumentada.
Cronograma de divulgación
- 2020-11-29: EYE informa vulnerabilidad a la seguridad de Zyxel
- 2020-11-30: Zyxel acuse de recibo
- 2020-12-02: Zyxel solicita más información sobre cómo se descubrió la vulnerabilidad
- 2020-12-03: EYE envía más detalles
- 2020-12-08: Zyxel lanza el firmware beta 4.60-WK48 y elimina la versión de firmware vulnerable de su sitio
- 2020-12-15: Zyxel lanza el firmware 4.60 parche 1 para la mayoría de los dispositivos
- 2020-12-18: Zyxel lanza el firmware 4.60 parche 1 para todos los dispositivos restantes
- 2020-12-23: Zyxel publica un aviso
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.