Хакеры начинают использовать новый бэкдор в устройствах Zyxel

использовать, новый, бэкдор, zyxel

Злоумышленники активно сканируют Интернет на предмет открытых SSH-устройств и пытаются войти в них, используя новый, недавно исправленный, жестко закодированный бэкдор учетных данных Zyxel.

В прошлом месяце Нильс Тьюзинк из голландской фирмы EYE, занимающейся кибербезопасностью, раскрыл секретную жестко закодированную учетную запись бэкдора в брандмауэрах Zyxel и контроллерах точек доступа. Эта секретная учетная запись zyfwp позволяла пользователям входить в систему через SSH и веб-интерфейс для получения прав администратора.

В сообщении Zyxel заявляет, что они использовали секретную учетную запись для автоматической доставки обновлений прошивки через FTP.

Этот бэкдор представляет собой значительный риск, поскольку он может позволить злоумышленникам создавать учетные записи VPN для получения доступа к внутренним сетям или перенаправления внутренних служб, чтобы сделать их доступными для удаленного доступа и использовать их.

Злоумышленники активно ищут бэкдор Zyxel

Вчера компания GreyNoise, занимающаяся разведкой в ​​области кибербезопасности, обнаружила три разных IP-адреса, которые активно сканируют устройства SSH и пытаются войти в них с использованием учетных данных бэкдора Zyxel.

Генеральный директор GreyNoise Эндрю Моррис сказал BleepingComputer, что злоумышленник, похоже, не сканирует специально устройства Zyxel, а вместо этого сканирует Интернет в поисках IP-адресов, на которых работает SSH.

Когда SSH обнаружен, он попытается подобрать учетную запись на устройстве, при этом одна из проверенных учетных данных будет новой учетной записью Zyxel ‘zyfwp’ backdoor.

Особый интерес представляет то, что один из IP-адресов использует встроенный SSH-клиент Cobalt Strike для выполнения сканирования. Моррис сказал BleepingComputer, что актер может сканировать таким образом, чтобы избежать поставщиков информации об угрозах.

В прошлом месяце Zyxel выпустила «ZLD V4.60 Patch 1», который удаляет бэкдор-аккаунты на брандмауэрах. Вчера Zyxel объявил, что выпустит патч для контроллеров AP 8 января 2021 года.

BleepingComputer настоятельно рекомендует всем пользователям как можно скорее установить исправление, чтобы предотвратить доступ злоумышленников к уязвимым сетям, развертывание программ-вымогателей или кражу данных.

Источник