Эксперты по информационной безопасности заявляют о том, что киберпреступники начали активно сканировать интернет на предмет наличия открытых SSH-устройств. Хакеры пытаются войти в них с помощью нового (недавно исправленного разработчиком) закодированного бэкдора учетных данных Zyxel.
Специалисты нидерландской компании EYE в декабре 2020 года раскрыли секретную закодированную учетную запись бэкдора в брандмауэрах Zyxel и контроллерах точек доступа. Скрытая учетная запись «zyfwp» позволяет пользователям авторизовываться в системе через веб-интерфейс и SSH для получения прав администратора.
Представители компании Zyxel заявили о том, что эта секретная учетная запись «zyfwp» использовалась для автоматической доставки обновлений прошивки через FTP.
Эксперты заявили, что этот бэкдор представляет собой «значительные риски», потому что с его помощью киберпреступники могут создавать учетные записи VPN для доступа к внутренним сетям или перенаправлять внутренние службы, чтобы сделать их доступными для удаленного доступа и дальнейшей эксплуатации.
Компания GreyNoise, которая занимается разведкой кибербезопасности, объявила об обнаружении трех различных IP-адресов, активно сканирующих устройства SSH и пытающихся войти в них, пользуясь учетные данные бэкдора Zyxel:
Специалисты отмечают, что «хакеры, скорее всего, специально сканируют не устройства Zyxel, а весь интернет в поисках IP-адресов, на которых работает SSH». После обнаружения SSH хакеры стараются подобрать учетную запись на устройстве. Один из найденных IP-адресов использует встроенный SSH-клиент Cobalt Strike для выполнения сканирования. Таким образом, как предполагают в компании GreyNoise, хакеры могут избежать обнаружения своей деятельности защитными средствами.
Компания Zyxel в декабре 2020 года уже выпустила обновление безопасности ZLD V4.60 Patch 1, удаляющее бэкдор-аккаунты в брандмауэрах. Предполагается, что патч для контроллеров AP 8 будет выпущено 8 января. Эксперты GreyNoise настоятельно рекомендуют всем пользователям как можно быстрее установить обновление безопасности, чтобы не допустить получения киберпреступниками доступа к уязвимым сетям, развертывания вредоносного вымогательского ПО или кражи конфиденциальной информации.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
