Hallan una puerta trasera en más de 100000 firewalls y VPN Zyxel

¡Feliz año! Una noticia bastante embarazosa para comenzar este 2021, como debe ser. Afecta al fabricante de equipamiento de red Zyxel, del que se habría filtrado credenciales «hardcodeadas» (escritas en claro) dentro del código de su software, y que pondrían en manos ajenas, potencialmente, unos 100000 dispositivos o más.

Aparatos como Firewalls, Pasarelas VPN y controladores de punto de acceso (APs) cuentan con acceso mediante SSH o web, con permisos de administrador, según reporta la firma holandesa Eye Control. Es decir, una potencial vulnerabilidad muy grave frente a la que conviene reaccionar a la mayor brevedad.

El nombre de usuario y contraseña eran visibles en uno de los binarios del firmware de estos dispositivos Zyxel. Usuario: zyfwp. Contraseña: PrOw!aN_fXp

Zdnet

Dispositivos empresariales afectados por la vulnerabilidad

La lista de grupos y ciberdelincuentes diferentes, que podrían sacar partido de esta vulnerabilidad, es grande. Ya sean operadores de redes de bot (botnets) o bien grupos de hackers organizados, así como estados, harán todo lo posible por aprovechar estas credenciales de nivel administrador.

Como se ha dicho, muchos de los dispositivos de Zyxel estarían afectados, algo particularmente grave si tenemos en cuenta los de grado empresarial. Ejemplos:

• Firewall: El producto ATP (Advanced Threat Protection) en sus diversas variantes
• VPN gateway: las VPN series están afectadas
• Productos híbridos: series USG FLEX (firewall híbrido y pasarela VPN) y USG (Unified Security Gateway)
• Controladores AP: NXC series, controlador de acceso WLAN

En la web oficial de Zyxel podemos consultar los detalles y descargar los parches correctivos. Eso sí, los parches de la serie NXC no llegarán, en principio, hasta el 8 de Enero de 2021. El boletín es CVE-2020-29583.

Los mismos errores, peores consecuencias

Según se apunta desde ZDNet por parte de un experto (Ankit Anubhav), Zyxel bien podría haber aprendido una lección anterior -allá por 2016- donde se registró un incidente similar.

En aquel boletín CVE-2016-10401, se detalla como diferentes modelos de Zyxel salieron al mercado con una backdoor que permitía privilegios root. Para ello había que hacer sudo su – y utilizar la contraseña zyad5001.

Además, apuntan que ya entonces este hecho fue aprovechado por ciberdelincuentes, operadores de botnets, para realizar ataques. La diferencia es que ahora es incluso peor.

El por qué es sencillo: mientras en 2016 los atacantes necesitaban acceso previo a una cuenta no privilegiada en el dispositivo Zyxel, que pudieran luego elevar a root, la backdoor de la que hablamos hoy puede permitir el acceso sin condición previa alguna.

Pero además hay otra diferencia. En aquel ataque pasado se podía únicamente realizar el ataque utilizando Telnet, mientras que ahora, se podría acceder al panel hospedado en el puerto HTTPS (443).

Os animo a todos los dueños de dispositivos Zyxel, tanto domésticos como empresariales, a aplicar actualizaciones inmediatamente.