Af Eskil Sørensen, 07/01/21
Trusselsaktører scanner pt. aktivt internettet for åbne SSH-enheder og prøver at logge ind på dem ved hjælp af en for nylig patched Zyxel bagdør. Det skriver Bleeping Computer.
Sidste måned afslørede det hollandske cybersikkerhedsfirma EYE en ’hemmelig’ hardkodet bagdør i Zyxel-firewalls og AP-controllere. I en advisory har Zyxel oplyst, at bagdøren har været brugt til automatisk at levere firmwareopdateringer via FTP. Bagdøren tillader imidlertid også brugere at logge ind via SSH og webgrænsefladen for at få administratorrettigheder.
Bagdøren udgør på den måde en risiko, da den kan give trusselsaktører mulighed for at oprette VPN-konti for at få adgang til interne netværk eller ’port forward’ interne tjenester for at gøre dem eksternt tilgængelige og udnyttelige.
Trusselsaktører scanner aktivt efter Zyxel-bagdør
Det fremgår af Bleeping Computer, at cybersecurityfirmaet GreyNoise i går opdagede tre forskellige IP-adresser, der aktivt scanner efter SSH-enheder og forsøgte at logge ind på dem ved hjælp af Zyxel-bagdøren. Ifølge GreyNoise ser det ikke ud til, at trusselsaktøren scanner specifikt efter Zyxel-enheder, men i stedet scanner Internettet efter IP-adresser, der kører SSH.
Når SSH (som er en protokol til krypteret fjernadgang) detekteres, forsøges gennemført ’brute force’ på en konto på enheden.
Zyxel frigav 'ZLD V4.60 Patch 1' i sidste måned, der fjerner bagdørskonti på firewall-enheder. Zyxel meddelte i går, at de ville frigive patch til AP-controllere den 8. januar 2021.
Det anbefales at installere opdateringen for at forhindre trusselsaktører i at få adgang til sårbare netværk, implementere ransomware eller stjæle data.
Links:
https://www.bleepingcomputer.com/news/security/secret-backdoor-discovere...
https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-...