Спецпроекты

ПО для управления шлюзами Zyxel пронизано бэкдорами

Безопасность Телеком

Жестко закодированные ключи, скрытые административные аккаунты, многочисленные ошибки — все это выявлено в Zyxel Cloud CNM Secu Manager. В самой компании Zyxel утверждают, что этот пакет поставляется очень небольшому числу клиентов.


Ключи от черного входа

В программных пакетах для управления сетевой инфраструктурой фирмы Zyxel выявлены полтора десятка уязвимостей, в том числе многочисленные бэкдоры, зашитые SSH-ключи, возможность удаленного запуска произвольного кода и т. д.

Исследователи Пьер Ким (PierreKim) и Александр Торрес выявили проблемы в пакете Zyxel Cloud CNM Secu Manager, который предназначен для управления шлюзами безопасности ZyWALL серий USG и VPN. Исследователи нашли жестко закодированные серверные SSH-ключи и сертификаты и скрытый доступ в Ejabberd; доступ в хранилище Open ZODB без авторизации, закодированный секретный ресурс-файл для сервиса MyZyxel, предустановленные пароли для административных аккаунтов, XSS-уязвимость, бэкдор-доступ и возможность удаленного запуска произвольного кода в веб-интерфейсе и многое другое.

Вдобавок по умолчанию отключен файерволл, некоторые демоны запускаются с правами root и доступны из беспроводной сети. В общем, «поверхность атаки» огромна, а уязвимости можно эксплуатировать в самых разных комбинациях. Впрочем, использование предустановленных административных аккаунтов с жестко закодированными паролями уже достаточно.

backdoor600.jpg
Программный комплекс для управления шлюзами Zyxel пронизан бэкдорами

Уязвимыми оказываются версии Zyxel CNM Secu Manager 3.1.0 и 3.1.1, последний раз обновлявшиеся в ноябре 2018 г.

Оставили преднамеренно?

Что интересно, эксперты опубликовали информацию об уязвимостях, не поставив Zyxel в известность; они сами полагают, что разработчик преднамеренно оставил все эти бэкдоры.

Со своей стороны, разработчик проблемного ПО подтвердил наличие проблем и сообщил, что ведется расследование. Также в Zyxel отметили, что CloudCNMSecuManager поставляется «очень ограниченному количеству клиентов».

«Оставлять подобные уязвимости намеренно было бы очень странным решением, вне зависимости от того, кому поставляется данное решение, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Большая часть ошибок выглядит как типичные отладочные артефакты, которые разработчики забыли или не успели устранить перед финальным релизом.



Технология месяца

Почему российские компании переходят на новую Exadata X8M

Алексей Курочка

директор Oracle Systems в России и СНГ