Zyxel исправила уязвимость нулевого дня в сетевых хранилищах — CERT оценил опасность на 10/10

    image

    Тайваньская компания Zyxel выпустила обновление, исправляющее критическую ошибку в своих устройствах сетевого хранилища (NAS) — её могли использовать для удалённого доступа и управления ими. Обновление вышло через 12 дней после того, как американский журналист Брайан Кребс предупредил компанию, что киберпреступники продают инструкции по использованию уязвимости за $20 000.

    Издание KrebsOnSecurity узнало об уязвимости 12 февраля от компании Hold Security. Её глава, Алекс Холден, рассказал, что получил копию кода эксплойта, позволяющего получить незаконный доступ к сетевым хранилищам Zyxel. По его словам, код ему продал киберпреступник с никнеймом 500mhz, как раз специализирующийся на 0day-уязвимостях. Эта и предыдущие инструкции, предоставленные хакером, сопровождались исчерпывающей документацией, которая подробно описывала все подробности уязвимости. В них содержались описания инструментов, необходимых для неправомерного использования ошибки, пошаговые инструкции по взлому, советы по сокрытию следов взлома и примеры поисковых запросов, которые могли бы вывести злоумышленников на тысячи устройств, обладающих уязвимостью.

    Журналисты обнаружили профиль 500mhz на одном из русскоязычных хакерских форумов. В нём говорится, что злоумышленник регулярно покупает и продаёт различные 0day/Nday-уязвимости.

    image

    Издание Кребса рассказало Zyxel об ошибке в тот же день, когда получили сведения о ней, 12 февраля. Сначала компания никак не отреагировала на отправленное ей письмо, поэтому спустя четыре дня KrebsOnSecurity известило о ней Министерство внутренней безопасности США и Координационный центр CERT, после чего на следующие сутки Zyxel наконец ответила изданию и поблагодарила за предупреждение.

    По заявлению компании, уязвимость распространяется на 14 моделей сетевых накопителей Zyxel:
    NAS542, NAS540, NAS520, NAS326, NSA325 v2, NSA325, NSA320S, NSA320, NSA310S, NSA310, NSA221, NSA220 +, NSA220 и NSA210.

    Многие из этих устройств уже не получают обновления софта, и уязвимости в них исправлены не будут. Zyxel опубликовала рекомендации по их исправлению для пользователей устаревшими накопителями, которые, впрочем, выглядят как «отключите им прямой доступ в интернет», отмечает KrebsOnSecurity. Для дополнительной защиты их следует подключить к защитному маршрутизатору или брандмауэру, говорится в заявлении компании.

    При этом, говорит Холден, эксплойт, позволяющий получить удалённый доступ к сетевым хранилищам, очень прост в использовании — учитывая это, другие устройства Zyxel тоже могут быть в опасности. Координационный центр CERT оценил серьёзность уязвимости в максимальные 10 баллов.

    Zyxel Communications Corp., базирующаяся на Тайване, производит сетевые устройства, включая маршрутизаторы Wi-Fi, сетевые накопители и аппаратные брандмауэры. В компании работает около 1500 сотрудников, и по всему миру установлено около 100 миллионов устройств. Несмотря на то, что найденная в накопителях компании уязвимость чрезвычайно распространена среди всех устройств этого класса, этот недостаток примечателен тем, что привлек интерес преступных организаций, которые могут использовать её в целях вымогательства, говорит Кребс.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 8

      +1
      PoC выложили в паблик, тупейший CLI injection при отсутствии какой-либо очевидной фильтрации/обработки входных параметров. Ладно бы какая-нибудь гаражная компания, но Zyxel…
        +2
        Много современных крупных компаний работают хуже многих гаражных компании. А если вы ещё посмотрите на их внутренние тулзы, это вообще страх и ужас.
        0
        киберпреступники продают инструкции по использованию уязвимости за $20 000.

        Очень надеюсь, что эти 20000 будут вычтены из зарплаты, прости господи, программиста, проморгавшего такую детскую ошибку.

          0

          А почему не тестировщика или даже их менеджера?

            +1

            Как человек 30 лет пашущий в IT (да, я знаю что 30 лет назад IT так даже еще и не называлось, и вообще неможно за 30 лет остаться человеком) я скажу, что мы за это время столько тут всего понаделали, что иной раз удивляешься почему Земля до сих пор не наскочила на небесную ось. У меня есть смутные ощущения что тут все намотано на проклятые принципы Парето. Иногда я чуствую что надо написать об этом, раскрыть глаза всем, порвать шаблоны и все такое, но я такой ленивый. Простите меня за это. Ну заодно, и за то что я вам тут наделал за те самые 30 лет тоже простите, люди.

            +1

            Почему бы с него не вычесть $20000 за каждое скомпроментированное устройство, а ему самому запретить какую-либо работу с ПО, а также его детям до третьего колена? Все-таки работа в IT не для людей, которые совершают ошибки.

              0
              Тег [sarcasm] потерялся где-то.
            0

            Вскоре после этой новости признали, что и в файрволах та же фигня.


            UTM, ATP, and VPN firewalls running firmware version ZLD V4.35 Patch 0 through ZLD V4.35 Patch 2.

            https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое