Nem dokumentált backdoor-t találtak egyes Zyxel tűzfalakban és VPN termékekben

A következmények nyilvánvalóak: illetéktelenek hozzáférhetnek az eszközökhöz jobb esetben "csak" a belső/menedzsment hálózat irányából, rosszabb esetben akár az internet felől is.

When doing some research (rooting) on my Zyxel USG40, I was surprised to find a user account 'zyfwp' with a password hash in the latest firmware version (4.60 patch 0). The plaintext password was visible in one of the binaries on the system. I was even more surprised that this account seemed to work on both the SSH and web interface.

$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>

The user is not visible in the interface and its password cannot be changed. I checked the previous firmware version (4.39) and although the user was present, it did not have a password. It seemed the vulnerability had been introduced in the latest firmware version. Even though older versions do not have this vulnerability, they do have others (such as this buffer overflow) so you should still update.

Az érintett firmware verziót futtatók frissítsenek. Érintett termékek listája a Zyxel figyelmeztetőjében. Részletek itt.

Hozzászólások

Sok időbe telt.újat belerakni. 

 

Elég érdekes, hogy miután az egyik verzióról a másikra jelszavat rak a zyxel a.rejtett admin jogú felhasználóra, bejelentik nekik a hibát, majd utána még infókat kérnek be a hiba felfedezésének körülményeiről.

Emlékszem még egy másik kínai vendorra (X-Micro) és az ő backdoorra adott "fixére". Miután kiderült, hogy egy built-in userrel, hardcoded passworddel jön az eszköz, a fix release-ben megváltoztatták a user nevét.

https://securitytracker.com/id/1009843

A legszomorubb, hogy olyan vilagban elunk ahol egy ilyen esetet olvasva egy kajan vigyor (lebuktak, haha) utan tovabb lapozunk, ahelyett, hogy faklyat es vasvillat ragadva megostromolnank a szekhazukat es pedagogiai jelleggel felgyujtanank a gec1be.

Igen. Az egyének valahogy nem tudnak koordináltan viselkedni előnyben vannak a cégek, államok. Hiába az internet. A következő nagy dolog valami ilyen lehetne, hogy ha a földön, vagy egy országban az emberek nagy része egyetértve gondol valamit, akkor valahogy ezt át tudják vinni valami koordinált cselekvéses dologgá.

Egy csomószor van, hogy történik valami, a többség azt gondolja, hogy ezt nem kéne, de megy tovább az élet és marad minden úgy. És akkor jön a köv dolog és megint.

Szerkesztve: 2021. 01. 02., szo – 13:55

Viszonylag egyszerű ellenőrizni, hogy tényleg annyira gyökerek voltak-e, hogy egy admin jogú felhasználóval disztributálták a frissítések egy plain text protokollon keresztül. 

Milyen a dokumentalt backdoor?

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Honnan tudhatjuk előre hogy bármelyik másik márka nem kb. ugyanez csak valahol valamiben kicsit másképpen? Melyik az a cucc amiben garantáltan ilyen nem fordulhat elő és ha van is ilyen akkor miért éppen az?

Cisco-ban is talalnak fél évente 1-1 backdoor accountot, ami állítólag csak vmi support case miatt kellett és véletlenül benne felejtették.

Amúgy nem kell ide semmi rosszat latni, minden telco vendor úgy csinalja (avaya biztosan), hogy te megveszed tőlük az eszközöket, és nem adnak rá neked root accountot, azt megtartják maguknak. Te csak valami limitált fél-admint kapsz, és a vas mellé muszáj vagy megvenni a fizetős supportot is, amihez remote access-t adsz a gyártó támogatási mérnökeinek. Tűzfalnál is siman el tudom képzelni ezt a felállást (checkpoint, fortinet, juniper és tsai)

Én meg Juniper SRX-et. A Juniper ad full root shell-t. F5 szintén ad.

A Chekpointban mostanában nem vagyok otthon, de régebben az expert mode-val root jogod lett az OS-en emlékeim szerint.

Cisco, Forti,Palo Alto nem ad az OS-hez root-ot amiket még ismerek.

Nálam fut ~USG40W, USG60W, USG20W, meg egy sima USG20 (ez van tesztre).

Kipróbáltam az összes lehetőséget, egyik sem érintett szerencsére. Mivel 4.39 -es FW verzió fut rajtuk perpill.

Nem is értem ki az aki egy Tűzfalon bekapcsolja az FW auto-update funkciót.... (ezer + 1 dolgot cseszhet el, nem csak zyxel esetén...) Én nálam kb úgy néz ki hogy várok 2 hetet (ha nincs valami 0day, vagy mission critical javítás az új FW-be), ezután felmegy a játszós USG20-ra, utána pár nap múlva mehet szépen a többire is.

Mondjuk most hogy ránéztem a 4.39-esekre a firmware update részt le is lőtték átmenetileg, legalábbis a manual check firmware nem is tud csatlakozni perpill a szerverükhöz.

Csak az erintett, amiben van AP kontroller funkcio, igy a sima kontrollerek is, ugyanis a rejtett account az AP-k firmware frissitesere szolgalt. Nem szandekos, csak szerencsetlen programozasi baki.

Elírni egy pontosvesszőt, vagy lehagyni egy zárójelet az developer baki.

Belerakni egy hardkódolt backdoor accountot bármibe, az nem baki hanem szándékos gányolás tákolás, amiről azt remélik nem derül ki. De mindig kiderül.

Úgy mint a Lenovo ssl intercept MITM szarjai, a Zoom MAC-es http proxy-ja, és a többi gányolás.