Хакеры активно используют новый бэкдор в устройствах Zyxel

Дата: 07.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры активно используют новый бэкдор в устройствах Zyxel

Эксперты по информационной безопасности заявляют о том, что киберпреступники начали активно сканировать интернет на предмет наличия открытых SSH-устройств. Хакеры пытаются войти в них с помощью нового (недавно исправленного разработчиком) закодированного бэкдора учетных данных Zyxel.

Специалисты нидерландской компании EYE в декабре 2020 года раскрыли секретную закодированную учетную запись бэкдора в брандмауэрах Zyxel и контроллерах точек доступа. Скрытая учетная запись «zyfwp» позволяет пользователям авторизовываться в системе через веб-интерфейс и SSH для получения прав администратора.

Представители компании Zyxel заявили о том, что эта секретная учетная запись «zyfwp» использовалась для автоматической доставки обновлений прошивки через FTP.

Эксперты заявили, что этот бэкдор представляет собой «значительные риски», потому что с его помощью киберпреступники могут создавать учетные записи VPN для доступа к внутренним сетям или перенаправлять внутренние службы, чтобы сделать их доступными для удаленного доступа и дальнейшей эксплуатации.

Компания GreyNoise, которая занимается разведкой кибербезопасности, объявила об обнаружении трех различных IP-адресов, активно сканирующих устройства SSH и пытающихся войти в них, пользуясь учетные данные бэкдора Zyxel:

Хакеры активно используют новый бэкдор в устройствах Zyxel

Специалисты отмечают, что «хакеры, скорее всего, специально сканируют не устройства Zyxel, а весь интернет в поисках IP-адресов, на которых работает SSH». После обнаружения SSH хакеры стараются подобрать учетную запись на устройстве. Один из найденных IP-адресов использует встроенный SSH-клиент Cobalt Strike для выполнения сканирования. Таким образом, как предполагают в компании GreyNoise, хакеры могут избежать обнаружения своей деятельности защитными средствами.

Компания Zyxel в декабре 2020 года уже выпустила обновление безопасности ZLD V4.60 Patch 1, удаляющее бэкдор-аккаунты в брандмауэрах. Предполагается, что патч для контроллеров AP 8 будет выпущено 8 января. Эксперты GreyNoise настоятельно рекомендуют всем пользователям как можно быстрее установить обновление безопасности, чтобы не допустить получения киберпреступниками доступа к уязвимым сетям, развертывания вредоносного вымогательского ПО или кражи конфиденциальной информации.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *