Aanvallers kapen firewalls via nobody-account
Cybercriminelen maken nu gretig gebruik van een beveiligingsgat in firewall- en VPN-apparatuur van Zyxel. De fabrikant heeft patches beschikbaar gesteld, maar ondertussen zijn aanvallen al in uitvoering. Het gaat om een nieuw ontdekte kwetsbaarheid, gerelateerd aan het ingebouwd account 'nobody'. Onder meer de Amerikaanse inlichtingendienst NSA waarschuwt dat misbruik gaande is.
© Zyxel
Zyxel
Aanvallers kunnen kwetsbare netwerkapparatuur van Zyxel vergaand compromitteren: het uitvoeren van eigen code op de firewalls en VPN-routers voor bedrijven geeft de mogelijkheid om die apparatuur volledig over te nemen. Daarlangs zijn dan ook de netwerken te bereiken die eigenlijk door deze apparatuur beschermd moeten worden. De kwetsbaarheid (CVE-2022-30525) is ontdekt door securitybedrijf Rapid7 en mogelijkheden voor misbruik zijn toegevoegd aan pentesttool Metasploit.
Netjes gemeld
Fabrikant Zyxel heeft al updates uitgebracht voor zijn firmware waarmee deze kwetsbaarheid valt te dichten. Deze patches zijn eind vorige maand stilletjes uitgebracht, nadat Rapid7 het ontdekte beveiligingsgat medio april verantwoord had gemeld. Dat uitbrengen is echter stilletjes gedaan, meldt Bleeping Computer. Eind vorige week heeft Rapid7 details gepubliceerd, nadat het ontdekte dat Zyxel zonder overleg of ruchtbaarheid patches had uitgebracht.
Daarná heeft de fabrikant van netwerkapparatuur echter aan Rapid7 gemeld dat patches voor 14 juni zouden uitkomen. Technisch gezien is dat met de release eind april wel gedaan. Normaliter hanteert het securitybedrijf een periode van 60 dagen waarin het een melding stil houdt. Dat geeft leveranciers van kwetsbare software of hardware dan de gelegenheid om patches te ontwikkelen en uit te brengen. Beheerders moeten dan echter nog aan de slag, om die updates te keuren, testen en installeren.
Stilletjes uitbrengen
Rapid7 heeft vorige week maandag ontdekt dat Zyxel stilletjes updates heeft uitgebracht. Daarna heeft de ontdekker nog om een reactie gevraagd over dat stille patchen. Zyxel heeft daarna verzocht een nieuw tijdspad te hanteren voor publieke onthulling van de kwetsbaarheid. Rapid7 is eind vorige week overgegaan tot publieke bekendmaking. Vervolgens heeft de fabrikant van de kaapbare firewalls en VPN-routers zelf een securitybulletin gepubliceerd.
Inmiddels zijn kwaadwillenden losgegaan op deze buitenkans voor aanvallen op bedrijfsnetwerken. Onder meer de Amerikaanse inlichtingendienst NSA waarschuwt dat aanvallen gaande zijn. Ondertussen worden ook firewalls van securityleverancier Sophos bestookt.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee