Hackers σαρώνουν ενεργά το Διαδίκτυο για ανοικτές συσκευές SSH και προσπαθούν να συνδεθούν σε αυτές χρησιμοποιώντας μια νέα, πρόσφατα επιδιορθωμένη πίσω πόρτα διαπιστευτηρίων Zyxel.
Τον περασμένο μήνα, η Niels Teusink της ολλανδικής εταιρείας ασφάλειας στον κυβερνοχώρο EYE αποκάλυψε έναν μυστικό λογαριασμό backdoor με σκληρό κώδικα σε τείχη προστασίας Zyxel και ελεγκτές AP. Αυτός ο μυστικός λογαριασμός «zyfwp» επέτρεψε στους χρήστες να συνδεθούν μέσω SSH και της διεπαφής ιστού για να αποκτήσουν δικαιώματα διαχειριστή.
Η Zyxel δηλώνει ότι χρησιμοποίησε τον μυστικό λογαριασμό για την αυτόματη ενημέρωση υλικολογισμικού μέσω FTP.
Αυτό το backdoor είναι ένας σημαντικός κίνδυνος, καθώς θα μπορούσε να επιτρέψει στους φορείς απειλής να δημιουργήσουν λογαριασμούς VPN για να αποκτήσουν πρόσβαση σε εσωτερικά δίκτυα ή να προωθήσουν εσωτερικές υπηρεσίες για να τους κάνουν προσβάσιμους και εκμεταλλεύσιμους εξ αποστάσεως.
Οι hackers αναζητούν ενεργά το Zyxel backdoor
Χθες, η εταιρεία πληροφοριών cybersecurity GreyNoise εντόπισε τρεις διαφορετικές διευθύνσεις IP που σαρώνονταν ενεργά για συσκευές SSH και προσπάθησαν να συνδεθούν σε αυτές χρησιμοποιώντας τα διαπιστευτήρια backdoor Zyxel.
Ο Διευθύνων Σύμβουλος της GreyNoise, Andrew Morris, δήλωσε ότι οι hackers δεν φαίνεται να κάνουν σάρωση ειδικά για συσκευές Zyxel, αλλά αντίθετα ανιχνεύει το Διαδίκτυο για διευθύνσεις IP που εκτελούν SSH.
Όταν εντοπιστεί SSH, θα προσπαθήσει να κάνει βίαια έναν λογαριασμό στη συσκευή, με ένα από τα διαπιστευτήρια που δοκιμάστηκαν και είναι ο νέος λογαριασμός της Zyxel «zyfwp».
Ιδιαίτερο ενδιαφέρον παρουσιάζει ότι μία από τις διευθύνσεις IP, χρησιμοποιεί τον ενσωματωμένο πελάτη SSH του Cobalt Strike για την εκτέλεση των σαρώσεων. Ο Μόρις είπε ότι οι hacker μπορούν να κάνουν σάρωση με αυτόν τον τρόπο για να αποφύγει τους ανιχνευτές απειλής.
Since May of this year, GreyNoise has observed an unknown actor quietly fingerprinting SSH honeypots on the Internet, exclusively through Tor. The actor is using Cobalt Strike’s SSH client. This is likely being done to avoid threat intelligence vendors.https://t.co/UUN9VCuyfG pic.twitter.com/vGxInpR84M
— GreyNoise (@GreyNoiseIO) September 16, 2020
Η Zyxel κυκλοφόρησε το «ZLD V4.60 Patch 1» τον περασμένο μήνα που αφαιρεί τους λογαριασμούς backdoor σε συσκευές τείχους προστασίας. Η Zyxel ανακοίνωσε χθες ότι θα κυκλοφορήσει την ενημέρωση κώδικα για ελεγκτές AP στις 8 Ιανουαρίου 2021.
Το iTechNews.gr συνιστά ανεπιφύλακτα σε όλους τους χρήστες να εγκαταστήσουν την ενημερωμένη έκδοση κώδικα το συντομότερο δυνατό για να αποτρέψουν την πρόσβαση των παραγόντων απειλής σε ευάλωτα δίκτυα, την ανάπτυξη ransomware ή την κλοπή δεδομένων.
[signoff]
