Zyxel 0day también afecta sus productos de firewall – Krebs on Stability


El lunes, fabricante de components de crimson Zyxel lanzó actualizaciones de seguridad para tapar un agujero de seguridad crítico en sus dispositivos de almacenamiento conectado a la pink (NAS) que está siendo explotado activamente por delincuentes que se especializan en la implementación de ransomware. Hoy, Zyxel reconoció que la misma falla está presente en muchos de sus productos de firewall.

La historia de esta semana sobre el parche Zyxel fue motivada por el descubrimiento de que el código de explotación para atacar la falla se vendía en el cibercrimen subterráneo por $ 20,000. Alex Holden, el experto en seguridad que vio por primera vez el código para la venta, dijo en ese momento que la vulnerabilidad period tan «estúpida» y fácil de explotar que no se sorprendería al descubrir que otros productos de Zyxel se vieron afectados de manera related.

Ahora parece que la corazonada de Holden era acertada.

«Ahora hemos completado la investigación de todos los productos Zyxel y descubrimos que los productos de firewall que ejecutan versiones específicas de firmware también son vulnerables», escribió Zyxel en un correo electrónico a KrebsOnSecurity. «Las revisiones se han lanzado de inmediato, y los parches de firmware estándar se lanzarán en marzo».

los aviso de seguridad actualizado de Zyxel afirma que el exploit funciona contra sus firewalls UTM, ATP y VPN que ejecutan la versión de firmware ZLD V4.35 Parche mediante ZLD V4.35 Parche 2y que aquellos con versiones de firmware anteriores Parche ZLD V4.35 no se ven afectados.

El nuevo aviso de Zyxel sugiere que algunos productos de firewall afectados no recibirán revisiones o parches para este defecto, y señala que los productos afectados que figuran en el aviso son solo aquellos que están «dentro del período de soporte de la garantía».

De hecho, aunque el exploit también funciona contra más de una docena de líneas de productos NAS de Zyxel, la compañía solo lanzó actualizaciones para productos NAS que eran más recientes que 2016. ¿Su consejo para aquellos que todavía usan esos dispositivos NAS no compatibles? “No deje el producto directamente expuesto a net. Si es posible, conéctelo a un enrutador de seguridad o firewall para obtener protección adicional «.

Con suerte, su Zyxel NAS susceptible y no compatible no está protegido por un producto de firewall Zyxel susceptible y no suitable.

CERT asesoramiento sobre la falla califique esta vulnerabilidad en un «10» – es la más severa. ¿Mi consejo? Si no puede parcharlo, tírelo. El hilo de ventas de día cero marcado por primera vez por Holden también insinuó la presencia de exploits posteriores a la autenticación en muchos productos Zyxel, pero la compañía no abordó esas afirmaciones en sus avisos de seguridad.

La actividad reciente sugiere que los atacantes conocidos por implementar ransomware han estado trabajando activamente para probar el día cero para su uso contra objetivos. Holden dijo que el exploit ahora está siendo utilizado por un grupo de tipos malos que están tratando de convertir el exploit en Emotet, una poderosa herramienta de malware que generalmente se difunde a través del correo no deseado que se usa con frecuencia para generar un objetivo con código malicioso que contiene los archivos de la víctima para el rescate.

«Para mí, un exploit de días en Zyxel no da tanto miedo como quién lo compró», dijo. «Los muchachos de Emotet han estado apuntando históricamente a Pc, computadoras portátiles y servidores, pero su aventura ahora en dispositivos IoT es muy inquietante».


Etiquetas: 0day, alex holden, zero working day, ZyXel

Esta entrada fue publicada el miércoles 26 de febrero de 2020 a las 9:43 a.m. y está archivada en Últimas advertencias, Tiempo de revisión.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original