Beheer

Security
Zyxel-firewall

Aanvallers kapen firewalls via nobody-account

Vers gat staat zonder authenticatie toe code op afstand uit te voeren.

© Zyxel
16 mei 2022

Vers gat staat zonder authenticatie toe code op afstand uit te voeren.

Cybercriminelen maken nu gretig gebruik van een beveiligingsgat in firewall- en VPN-apparatuur van Zyxel. De fabrikant heeft patches beschikbaar gesteld, maar ondertussen zijn aanvallen al in uitvoering. Het gaat om een nieuw ontdekte kwetsbaarheid, gerelateerd aan het ingebouwd account 'nobody'. Onder meer de Amerikaanse inlichtingendienst NSA waarschuwt dat misbruik gaande is.

Aanvallers kunnen kwetsbare netwerkapparatuur van Zyxel vergaand compromitteren: het uitvoeren van eigen code op de firewalls en VPN-routers voor bedrijven geeft de mogelijkheid om die apparatuur volledig over te nemen. Daarlangs zijn dan ook de netwerken te bereiken die eigenlijk door deze apparatuur beschermd moeten worden. De kwetsbaarheid (CVE-2022-30525) is ontdekt door securitybedrijf Rapid7 en mogelijkheden voor misbruik zijn toegevoegd aan pentesttool Metasploit.

Netjes gemeld

Fabrikant Zyxel heeft al updates uitgebracht voor zijn firmware waarmee deze kwetsbaarheid valt te dichten. Deze patches zijn eind vorige maand stilletjes uitgebracht, nadat Rapid7 het ontdekte beveiligingsgat medio april verantwoord had gemeld. Dat uitbrengen is echter stilletjes gedaan, meldt Bleeping Computer. Eind vorige week heeft Rapid7 details gepubliceerd, nadat het ontdekte dat Zyxel zonder overleg of ruchtbaarheid patches had uitgebracht.

Daarná heeft de fabrikant van netwerkapparatuur echter aan Rapid7 gemeld dat patches voor 14 juni zouden uitkomen. Technisch gezien is dat met de release eind april wel gedaan. Normaliter hanteert het securitybedrijf een periode van 60 dagen waarin het een melding stil houdt. Dat geeft leveranciers van kwetsbare software of hardware dan de gelegenheid om patches te ontwikkelen en uit te brengen. Beheerders moeten dan echter nog aan de slag, om die updates te keuren, testen en installeren.

Stilletjes uitbrengen

Rapid7 heeft vorige week maandag ontdekt dat Zyxel stilletjes updates heeft uitgebracht. Daarna heeft de ontdekker nog om een reactie gevraagd over dat stille patchen. Zyxel heeft daarna verzocht een nieuw tijdspad te hanteren voor publieke onthulling van de kwetsbaarheid. Rapid7 is eind vorige week overgegaan tot publieke bekendmaking. Vervolgens heeft de fabrikant van de kaapbare firewalls en VPN-routers zelf een securitybulletin gepubliceerd.

Inmiddels zijn kwaadwillenden losgegaan op deze buitenkans voor aanvallen op bedrijfsnetwerken. Onder meer de Amerikaanse inlichtingendienst NSA waarschuwt dat aanvallen gaande zijn. Ondertussen worden ook firewalls van securityleverancier Sophos bestookt.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.