Zyxel corrige 0day en dispositivos de almacenamiento en red – Krebs on Security

El parche llega en medio de la explotación activa por parte de bandas de ransomware

Proveedor de hardware de red Zyxel lanzó hoy una actualización para corregir una falla crítica en muchos de sus dispositivos de almacenamiento conectado a la red (NAS) que se pueden usar para controlarlos de forma remota. El parche llega 12 días después de que KrebsOnSecurity alertara a la empresa de que las instrucciones precisas para explotar la vulnerabilidad se vendían por 20.000 dólares en la clandestinidad del ciberdelito.

Con sede en Taiwán, Corporación de comunicaciones Zyxel. (también conocido como «ZyXEL») es un fabricante de dispositivos de red, incluidos enrutadores Wi-Fi, productos NAS y firewalls de hardware. La empresa tiene aproximadamente 1500 empleados y cuenta con unos 100 millones de dispositivos desplegados en todo el mundo. Si bien, en muchos aspectos, la clase de vulnerabilidad abordada en esta historia es deprimente común entre los dispositivos de Internet de las cosas (IoT), la falla es notable porque ha atraído el interés de grupos especializados en implementar ransomware a escala.

KrebsOnSecurity se enteró por primera vez de la falla el 12 de febrero de Alex Holdenfundador de la empresa de seguridad con sede en Milwaukee Mantener la seguridad. Holden había obtenido una copia del código de explotación, que permite a un atacante comprometer de forma remota más de una docena de tipos de productos Zyxel NAS sin la ayuda de los usuarios.

Zyxel corrige 0day en dispositivos de almacenamiento en red –

Un fragmento de la documentación proporcionada por 500mhz para Zyxel 0day.

Holden dijo que el vendedor del código de explotación, un ne’er-do-well que se conoce con el apodo de «500MHz” –es conocido por ser confiable y minucioso en sus ventas de exploits de día cero (también conocidos como “días cero”, estas son vulnerabilidades en productos de hardware o software de las que los proveedores se enteran por primera vez cuando el código de explotación y/o la explotación activa aparece en línea).

Por ejemplo, este y los días cero anteriores a la venta por 500 MHz venían con una documentación exhaustiva que detallaba prácticamente todo sobre la falla, incluidas las condiciones previas necesarias para explotarla, instrucciones de configuración paso a paso, consejos sobre cómo eliminar los rastros de explotación y enlaces de búsqueda de ejemplo que podrían usarse para localizar fácilmente miles de dispositivos vulnerables.

El perfil de 500mhz en un foro de ciberdelincuencia afirma que está constantemente comprando, vendiendo e intercambiando varias vulnerabilidades de 0day.

“En algunos casos, es posible intercambiar su 0day con mi 0day existente o vender el mío”, dice su perfil en ruso.

1673510396 715 Zyxel corrige 0day en dispositivos de almacenamiento en red –

La página de perfil de 500mhz, traducida del ruso al inglés a través de Google Chrome.

PARCHE PARCIAL

KrebsOnSecurity se puso en contacto por primera vez con Zyxel el 12 de febrero y compartió una copia del código de explotación y una descripción de la vulnerabilidad. Cuando transcurrieron cuatro días sin que el proveedor respondiera a las notificaciones enviadas a través de múltiples métodos, este autor compartió la misma información con los analistas de vulnerabilidades del Departamento de Seguridad Nacional de EE. UU. (DHS) y con el Centro de Coordinación CERT (CERT/CC), una asociación entre DHS y Universidad de Carnegie mellon.

Menos de 24 horas después de comunicarse con DHS y CERT/CC, KrebsOnSecurity recibió respuesta de Zyxel, que agradeció a KrebsOnSecurity por la alerta sin reconocer que no respondió hasta que otros les enviaron la misma información.

“Gracias por marcar”, escribió el equipo de Zyxel el 17 de febrero. “Acabamos de recibir una alerta de las mismas vulnerabilidades de US-CERT durante el fin de semana y ahora estamos en proceso de investigación. Aún así, de todo corazón Agradecemos que nos lo comunique.

Hoy temprano, Zyxel envió un mensaje diciendo que había publicó un aviso de seguridad y un parche por el exploit de día cero en algunos de sus productos afectados. Los dispositivos vulnerables incluyen NAS542, NAS540, NAS520, NAS326, NSA325 v2, NSA325, NSA320S, NSA320, NSA310S, NSA310, NSA221, NSA220+, NSA220 y NSA210. El defecto se designa como CVE-2020-9054.

Sin embargo, muchos de estos dispositivos ya no son compatibles con Zyxel y no recibirán parches. El consejo de Zyxel para esos usuarios es simplemente «no dejen el producto expuesto directamente a Internet».

“Si es posible, conéctelo a un enrutador de seguridad o firewall para una protección adicional”, dice el aviso.

Holden dijo que dada la simplicidad del exploit, que permite a un atacante tomar el control remoto de un dispositivo afectado inyectando solo dos caracteres en el campo de nombre de usuario del panel de inicio de sesión para dispositivos Zyxel NAS, es probable que otros productos Zyxel tengan vulnerabilidades relacionadas.

“Teniendo en cuenta lo estúpido que es este exploit, supongo que no es el único de su clase en sus productos”, dijo.

CERT asesoramiento sobre la falla lo califica con un «10»: es el más grave. El aviso incluye instrucciones de mitigación adicionales, incluido un exploit de prueba de concepto que tiene la capacidad de apagar los dispositivos Zyxel afectados.

¿EMOTET VA IOT?

Holden dijo que la actividad reciente sugiere que los atacantes conocidos por implementar ransomware han estado trabajando activamente para probar el día cero para su uso contra objetivos. Específicamente, Holden dijo que el exploit ahora está siendo utilizado por un grupo de malos que buscan doblar el exploit en Emoteteuna poderosa herramienta de malware que generalmente se difunde a través de correo no deseado y que se usa con frecuencia para sembrar un objetivo con código malicioso que retiene los archivos de la víctima para pedir un rescate.

Holden dijo que 500mhz estaba ofreciendo el exploit Zyxel por $ 20,000 en foros de ciberdelincuencia, aunque no está claro si la banda de Emotet pagó cerca de esa cantidad por el acceso al código. Aún así, dijo, las pandillas de ransomware podrían recuperar fácilmente su inversión al comprometer con éxito un solo objetivo con este exploit simple pero altamente confiable.

“Desde el punto de vista del atacante, lo simple es mejor”, dijo. “El valor comercial de este exploit se fijó en $20,000, pero eso no es mucho si se considera que una pandilla de ransomware podría recuperar fácilmente ese dinero y algo más en un corto período de tiempo”.

Las incipientes incursiones de Emotet en IoT se producen en medio de otros desarrollos inquietantes para la prolífica plataforma de explotación. A principios de este mes, los investigadores de seguridad notaron que Emotet ahora tiene la capacidad de propagarse como un gusano a través de redes Wi-Fi.

“Para mí, un exploit de día cero en Zyxel no es tan aterrador como quién lo compró”, dijo. “Los muchachos de Emotet se han centrado históricamente en PC, portátiles y servidores, pero su incursión ahora en los dispositivos IoT es muy inquietante”.

DEBATE DE DIVULGACIÓN

Esta experiencia fue un buen recordatorio de que la notificación y corrección de vulnerabilidades a menudo puede ser un proceso frustrante. El tiempo de respuesta de doce días es bastante rápido a medida que avanzan estas cosas, aunque probablemente no lo suficientemente rápido para los clientes que usan productos afectados por vulnerabilidades de día cero.

Cuando uno no obtiene ninguna respuesta de un proveedor, puede ser tentador simplemente publicar una alerta que detalla los hallazgos, y la presión para hacerlo ciertamente aumenta cuando hay una falla de día cero involucrada. KrebsOnSecurity finalmente optó por no hacerlo por tres razones.

En primer lugar, en ese momento no había evidencia de que las fallas estuvieran siendo explotadas activamente, y porque el proveedor le había asegurado al DHS y al CERT-CC que pronto tendría un parche disponible.

Quizás lo más importante es que la divulgación pública de una falla sin reparar bien podría haber empeorado una mala situación, sin ofrecer a los usuarios afectados mucha información sobre cómo proteger sus sistemas.

Muchos proveedores de hardware y software incluyen un enlace desde sus páginas de inicio a /security.txt, que es un estándar propuesto por permitir que los investigadores de seguridad identifiquen rápidamente los puntos de contacto de los proveedores cuando buscan informar vulnerabilidades de seguridad. Pero incluso los proveedores que aún no han adoptado este estándar (Zyxel no lo ha hecho) generalmente responderán a los informes en security@[vendordomainhere]; de hecho, Zyxel alienta a los investigadores a enviar dichos informes a [email protected].

En cuanto al tema de la divulgación completa, debo señalar que, si bien este autor figura en la lista del sitio de Hold Security como asesor, KrebsOnSecurity nunca buscó ni recibió remuneración de ningún tipo en relación con este rol.

Deja un comentario