Zyxel soluciona días en dispositivos de almacenamiento en crimson – Krebs on Safety


El parche se deliver en medio de una explotación activa por parte de pandillas de ransomware

Proveedor de hardware de purple Zyxel lanzó una actualización para corregir una falla crítica en muchos de sus dispositivos de almacenamiento conectado a la crimson (NAS) que se pueden usar para controlarlos de forma remota. El parche llega 12 días después de que KrebsOnSecurity alertó a la compañía de que se vendían instrucciones precisas para explotar la vulnerabilidad por $ 20,000 en el cibercrimen subterráneo.

Con sede en Taiwán, Zyxel Communications Corp. (también conocido como «ZyXEL») es un fabricante de dispositivos de pink, incluidos enrutadores Wi-Fi, productos NAS y firewalls de hardware. La compañía tiene aproximadamente 1,500 empleados y cuenta con unos 100 millones de dispositivos implementados en todo el mundo. Si bien en muchos aspectos la clase de vulnerabilidad abordada en esta historia es deprimentemente común entre los dispositivos de World wide web de las cosas (IoT), la falla es noteworthy porque ha atraído el interés de grupos especializados en implementar ransomware a escala.

KrebsOnSecurity se enteró por primera vez sobre la falla el 12 de febrero de Alex Holden, fundador de la firma de seguridad con sede en Milwaukee Mantener la seguridad. Holden había obtenido una copia del código de explotación, que permite a un atacante comprometer de forma remota más de una docena de tipos de productos Zyxel NAS de forma remota sin ninguna ayuda de los usuarios.

Un fragmento de la documentación proporcionada por 500mhz para el día de Zyxel.

Holden dijo que el vendedor del código de explotación es un neer-do-perfectly que se conoce con el sobrenombre «500mhz«, Es conocido por ser confiable y exhaustivo en sus ventas de exploits de días (también conocido como» día cero «, estas son vulnerabilidades en productos de hardware o program que los proveedores conocen por primera vez cuando el código de explotación y / o explotación activa aparece en línea).

Por ejemplo, este y los días cero anteriores para la venta por 500mhz incluyeron documentación exhaustiva que detalla prácticamente todo sobre la falla, incluidas las condiciones previas necesarias para explotarla, instrucciones de configuración paso a paso, consejos sobre cómo eliminar los rastros de explotación y ejemplos de enlaces de búsqueda que podrían usarse para localizar fácilmente miles de dispositivos vulnerables.

El perfil de 500mhz en un foro de delito cibernético afirma que constantemente está comprando, vendiendo e intercambiando varias vulnerabilidades de días.

«En algunos casos, es posible intercambiar su 0day con mi 0day existente, o vender el mío», dice su perfil en ruso.

La página de perfil de 500mhz, traducida del ruso al inglés a través de Google Chrome.

PARCHE PARCIAL

KrebsOnSecurity contactó a Zyxel por primera vez el 12 de febrero, compartiendo una copia del código de explotación y la descripción de la vulnerabilidad. Cuando transcurrieron cuatro días sin que el proveedor respondiera a las notificaciones enviadas a través de múltiples métodos, este autor compartió la misma información con los analistas de vulnerabilidad en el Departamento de Seguridad Nacional de los Estados Unidos (DHS) y con el Centro de Coordinación del CERT (CERT / CC), una asociación entre DHS y Universidad de Carnegie mellon.

Menos de 24 horas después de comunicarse con DHS y CERT / CC, KrebsOnSecurity recibió una respuesta de Zyxel, que agradeció a KrebsOnSecurity por la alerta sin reconocer su falta de respuesta hasta que otras personas les enviaron la misma información.

«Gracias por marcar», escribió el equipo de Zyxel el 17 de febrero. «Acabamos de recibir una alerta de las mismas vulnerabilidades de US-CERT durante el fin de semana, y ahora estamos en el proceso de investigación». Aún así, de todo corazón Le agradezco que nos lo haya informado.

Hoy temprano, Zyxel envió un mensaje diciendo que tenía publicó un aviso de seguridad y un parche para la explotación de día cero en algunos de sus productos afectados. Los dispositivos vulnerables incluyen NAS542, NAS540, NAS520, NAS326, NSA325 v2, NSA325, NSA320S, NSA320, NSA310S, NSA310, NSA221, NSA220 +, NSA220 y NSA210. El defecto se designa como CVE-2020-9054.

Sin embargo, muchos de estos dispositivos ya no son compatibles con Zyxel y no serán parcheados. El consejo de Zyxel para esos usuarios es simplemente «no dejar el producto directamente expuesto a Internet».

«Si es posible, conéctelo a un enrutador de seguridad o firewall para protección adicional», dice el aviso.

Holden dijo que dada la simplicidad del exploit, que permite que un atacante tome el regulate remoto sobre un dispositivo afectado al inyectar solo dos caracteres en el campo de nombre de usuario del panel de inicio de sesión para dispositivos Zyxel NAS, es probable que otros productos Zyxel puedan tener vulnerabilidades relacionadas.

«Considerando lo estúpido que es este exploit, supongo que este no es el único de su clase en sus productos», dijo.

CERT asesoramiento sobre la falla lo califica en un «10» – es el más severo. El aviso incluye instrucciones de mitigación adicionales, incluido un exploit de prueba de concepto que tiene la capacidad de apagar los dispositivos Zyxel afectados.

EMOTET IOT IOT?

Holden dijo que la actividad reciente sugiere que los atacantes conocidos por implementar ransomware han estado trabajando activamente para probar el día cero para su uso contra objetivos. Específicamente, Holden dijo que el exploit ahora está siendo utilizado por un grupo de tipos malos que están tratando de convertir el exploit en Emotet, una poderosa herramienta de malware que generalmente se difunde a través del correo no deseado que se united states of america con frecuencia para generar un objetivo con código malicioso que contiene los archivos de la víctima para el rescate.

Holden dijo que 500mhz estaba ofreciendo el exploit Zyxel por $ 20,000 en foros de delitos cibernéticos, aunque no está claro si la pandilla Emotet pagó cerca del monto por el acceso al código. Aún así, dijo, las pandillas de ransomware podrían recuperar fácilmente su inversión comprometiendo con éxito un solo objetivo con este exploit uncomplicated pero altamente confiable.

«Desde el punto de vista del atacante, lo straightforward es mejor», dijo. «El valor comercial de esta hazaña se estableció en $ 20,000, pero eso no es mucho cuando se considera que una pandilla de ransomware podría recuperar ese dinero fácilmente y luego algo en un corto período de tiempo».

Las incursiones incipientes de Emotet en IoT se producen en medio de otros desarrollos inquietantes para la prolífica plataforma de explotación. A principios de este mes, los investigadores de seguridad notaron que Emotet ahora tiene la capacidad de propagarse de forma equivalent a un gusano a través de redes Wi-Fi.

«Para mí, un exploit de días en Zyxel no da tanto miedo como quién lo compró», dijo. «Los muchachos de Emotet han estado apuntando históricamente a Pc, computadoras portátiles y servidores, pero su aventura ahora en dispositivos IoT es muy inquietante».

Discussion DE DIVULGACIÓN

Esta experiencia fue un buen recordatorio de que los informes y la corrección de vulnerabilidades a menudo pueden ser un proceso frustrante. El tiempo de respuesta de doce días es bastante rápido, pero probablemente no lo suficientemente rápido para los clientes que usan productos afectados por vulnerabilidades de día cero.

Puede ser tentador cuando uno no recibe ninguna respuesta de un proveedor simplemente publicar una alerta que detalla los hallazgos de uno, y la presión para hacerlo ciertamente aumenta cuando hay una falla de día cero involucrada. KrebsOnSecurity finalmente optó por no hacerlo por tres razones.

En primer lugar, en ese momento no había evidencia de que los defectos estuvieran siendo explotados activamente, y porque el vendedor había asegurado a DHS y CERT-CC que pronto tendría un parche disponible.

Quizás lo más importante es que la divulgación pública de una falla sin parches podría haber empeorado una mala situación, sin ofrecer a los usuarios afectados mucha información sobre cómo proteger sus sistemas.

Muchos proveedores de components y software program incluyen un enlace desde sus páginas de inicio a /security.txt, que es un estándar propuesto por permitir que los investigadores de seguridad identifiquen rápidamente los puntos de contacto de los proveedores cuando buscan reportar vulnerabilidades de seguridad. Pero incluso los proveedores que aún no han adoptado este estándar (Zyxel no lo ha hecho) generalmente responderán a los informes en security @ (vendordomainhere) de hecho, Zyxel alienta a los investigadores a enviar dichos informes a security@zyxel.com.tw.

Sobre el tema de la divulgación completa, debo tener en cuenta que, si bien este autor figura en la lista del sitio de Maintain Protection como asesor, KrebsOnSecurity nunca ha buscado ni recibido remuneración de ningún tipo en relación con este rol.


Etiquetas: 0day, 500mhz, alex holden, CERT Coordination Centre, CERT / CC, CVE-2020-9054, DHS, Emotet, Hold Security, ransomware, zero working day, ZyXEL Communications Corp.

Esta entrada fue publicada el lunes 24 de febrero de 2020 a las 12:13 pm y está archivada en Últimas advertencias, The Coming Storm, Time to Patch.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first