Imagem: Jigsaw
Mais de 100.000 firewalls gigsal, gateways VPN e controladores de ponto de acesso têm uma conta de porta de nível de administrador codificada que permite que invasores acessem dispositivos por meio da interface SSH ou painel de administração web.
O último relato, descoberto por uma equipe de pesquisadores de segurança holandeses no controle dos olhos, é considerado ruim em termos de vulnerabilidades.
Os proprietários de dispositivos são aconselhados a atualizar seus sistemas conforme o tempo permitir.
Os especialistas em segurança alertam que qualquer pessoa, desde operadores de botnet DTOS a grupos de hackers financiados pelo governo e gangues de ransomware, pode abusar dessa conta para acessar dispositivos vulneráveis e expor redes internas a novos ataques.
Os módulos afetados incluem vários dispositivos de qualidade empresarial
Os modelos afetados incluem muitos dos melhores produtos da Jixel de sua gama de dispositivos de nível empresarial que são comumente usados em empresas privadas e redes governamentais.
Inclui linhas de produtos de serra de vaivém:
- Série Proteção Avançada contra Ameaças (ATP) – usada principalmente como firewall
- Série Integrated Security Gateway (USG) – Usado como firewall híbrido e gateway VPN
- USG Flex Series – usado como um firewall híbrido e gateway de VPN
- Série VPN – usado como um gateway VPN
- Série NXC – usado como um controlador de ponto de acesso WLAN
Muitos desses dispositivos são usados na extremidade da rede de uma empresa, permitindo-lhes destacar os invasores e lançar novos ataques contra hosts internos, uma vez comprometidos.
Os links estão disponíveis atualmente apenas para as séries ATP, USG, USG Flex e VPN. Links para a série NXC são esperados em abril de 2022 Conselhos de segurança de serra de vaivém.
A conta posterior é fácil de encontrar
Estabelecer anexos remove a conta da porta, o que, de acordo com pesquisadores de controle de olhos, “zyfwp“Nome de usuário e”Proa! AN_fXp“Senha.
“Senha de texto simples conhecida em um dos binários do computador”, disse um pesquisador holandês Relatório Lançado pouco antes do feriado de Natal de 2020.
Os pesquisadores disseram que ele tem acesso root ao dispositivo de contabilidade, pois ele pode ser usado para instalar atualizações de firmware em outros dispositivos gigsal interconectados via FTP.
Jigsaw deve ter aprendido com o incidente da porta de 2016
Em uma entrevista ZDNet Esta semana, pesquisador de segurança IoT அங்கித் அனுபவ் A Jigsaw disse que deveria ter aprendido a lição com um incidente anterior em 2016.
Como observado CVE-2016-10401, Um dos dispositivos Gixel lançados na época tinha um mecanismo de porta secreto que permitia a qualquer pessoa atualizar qualquer conta em um dispositivo Gixelzyad5001“Senha SU (superusuário).
“Foi incrível ver outra credencial em código, já que a Jigsaw está bem ciente do que aconteceu da última vez Foi abusado por vários botnets, ”Disse Anupam ZDNet.
“CVE-2016-10401 ainda está no arsenal de botnets IoT baseados em ataques de senha”, disse o pesquisador.
Mas, desta vez, as coisas estão piores com CVE -2020-29583, o identificador CVE para a conta de fundo de 2020.
Disse Anupav ZDNet Embora o mecanismo de porta de 2016 exija que os invasores de contas de baixo privilégio tenham primeiro acesso ao dispositivo Gixel – eles podem elevá-lo como raiz – a porta para 2020 é estranha porque pode fornecer aos invasores acesso direto ao dispositivo sem quaisquer condições especiais.
“Além disso, ao contrário de exploits anteriores usados apenas em telnet, requer ainda menos experiência, pois pode testemunhar diretamente as evidências no grupo fornecidas na porta 443”, disse Anupav.
Além disso, a experiência indica que a maioria dos sistemas afetados são muito diferentes em comparação com o problema da porta de 2016, que afetou apenas os roteadores domésticos.
As vítimas agora têm acesso a uma ampla gama de vítimas, a maioria das quais são alvos corporativos, pois os dispositivos vulneráveis são comercializados principalmente para empresas como uma forma de controlar quem pode acessar redes internas e internas de locais remotos.
Nova onda de ransomware e inteligência?
Isso é um grande negócio no quadro geral, pois as vulnerabilidades em firewalls e gateways VPN serão uma das principais fontes de ataques de ransomware e operações de espionagem cibernética em 2019 e 2020.
Vulnerabilidades de segurança em dispositivos PulseSecure, Fortinet, Citrix, MobileIron e Cisco são freqüentemente usados para atacar empresas e redes governamentais.
A nova porta do quebra-cabeça pode expor um novo conjunto de empresas e agências governamentais ao mesmo tipo de ataques que vimos nos últimos dois anos.