Более 100 тыс. файрволов и VPN-шлюзов Zyxel содержали бэкдор-аккаунт

Олег Иванов 02 Января 2021 - 15:17

Малый и средний бизнес

...

Более ста тысяч межсетевых экранов, VPN-шлюзов и контроллеров точек доступа от Zyxel содержали жёстко закодированный административный бэкдор-аккаунт, который при случае мог открыть киберпреступникам root-доступ к устройствам через SSH-интерфейс или веб-панель администратора.

Опасную учётную запись обнаружили специалисты компании Eye Control, базирующейся в Нидерландах. Они же порекомендовали владельцам всех затронутых устройств как можно скорее обновить их, поскольку уязвимость действительно крайне неприятная.

Злоумышленники любого уровня — от операторов DDoS-ботнетов, до правительственных кибергруппировок и создателей шифровальщиков — могут использовать обнаруженный бэкдор-аккаунт для проникновения во внутренние сети.

Среди уязвимых устройств есть популярные модели корпоративного уровня от Zyxel. Как правило, такие девайсы используются в частных организациях и правительственных сетях. Эксперты выделили следующие линейки продуктов, владельцам которых стоит опасаться бэкдора:

ATP-серия — используется преимущественно как межсетевой экран;
USG-серия — используется как гибрид файрвола и VPN-шлюза;
Серия USG FLEX — также используется как файрвол и VPN-шлюз;
VPN-серия — используется исключительно как VPN-шлюз;
NXC-серия — используется как контроллер точки доступа WLAN.

На сегодняшний день патчи готовы только для ATP, USG, USG Flex и VPN. Согласно официальному сообщению Zyxel, серия NXC получит обновление в апреле 2021 года.

Как отметили исследователи из Eye Control, выявленный бэдор-аккаунт использовал имя пользователя «zyfwp» и пароль «PrOw!aN_fXp». Все выпущенные патчи закрывают этот недокументированный доступ.

«Пароль в виде открытого текста можно было найти в одном из системных бинарников. У аккаунта был root-доступ на устройстве, поскольку он использовался для установки обновлений прошивки», — пишут эксперты в отчёте.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 19 Ноября 2025 - 12:22

Windows Общее Microsoft

Microsoft встроит Sysmon прямо в Windows 11 и Windows Server 2025

Как заявили в Microsoft, в следующем году Sysmon будет встроен в Windows 11 и Windows Server 2025. Это означает, что отдельная установка System Monitor из пакета Sysinternals больше не понадобится. Sysmon — один из самых популярных инструментов для мониторинга и диагностики сложных проблем в Windows.

О планах сообщил создатель Sysinternals Марк Руссинович. Сейчас Sysmon приходится разворачивать вручную на каждом устройстве, что усложняет управление в корпоративных средах.

После интеграции достаточно будет установить компонент через меню «Дополнительные возможности» и получать обновления напрямую через Windows Update.

Как и раньше, Sysmon позволит использовать собственные конфигурационные файлы для фильтрации событий, которые будут записываться в журнал Windows.

Поддерживаются и базовые события — создание и завершение процессов — и продвинутые сценарии: отслеживание DNS-запросов, создание исполняемых файлов, вмешательство в процессы, изменения в буфере обмена и многое другое.

Microsoft обещает, что встроенная версия сохранит всю функциональность стандартного Sysmon, включая гибкую конфигурацию и расширенные фильтры событий. Администраторы смогут активировать мониторинг привычными командами:

Для базового режима:

<code>sysmon -i</code>

Для расширенного мониторинга с конфигом:

<code>sysmon -i <имя_файла_конфигурации></code>

Компания также готовит полноценную документацию по Sysmon, новые функции централизованного управления и интеграцию ИИ-механизмов для обнаружения угроз.

До релиза встроенной версии Sysmon можно продолжать использовать отдельный инструмент с сайта Sysinternals и ориентироваться на конфигурации, подготовленные SwiftOnSecurity.

Полноценное появление встроенного Sysmon ожидается в 2025 году вместе с обновлениями Windows.