พบ Backdoor บนอุปกรณ์ไฟร์วอลล์และ AP ของ Zyxel นับแสนเครื่อง

อุปกรณ์ Zyxel นับแสนเครื่องกำลังมีช่องโหว่ที่อาจจะโดนฝังแบ็กดอร์ได้ จากรหัสผ่านที่ตีตราถาวรมาจากผู้ผลิตที่ใช้สำหรับอัปเดตเฟิร์มแวร์ทั้งบนไฟร์วอลล์และคอนโทรลเลอร์ AP ค้นพบโดย Niels Teusink จากบริษัทด้านความปลอดภัยชาวดัตช์ EYE

บัญชีแอดมินที่แอบฝังมาถาวรนี้มาพร้อมกับเฟิร์มแวร์ที่แพ็ตช์เวอร์ชั่น 4.60 บนอุปกรณ์ Zyxel บางรุ่น ซึ่งเป็นบัญชีผู้ใช้ลับที่ไม่ได้แสดงขึ้นมาบนอินเทอร์เฟซใช้งานของ Zyxel มีชื่อล็อกอินว่า ‘zyfwp’ และรหัสผ่านตายตัวแบบข้อความล้วนที่ไม่ได้เข้ารหัส

ด้วยเหตุผลด้านความปลอดภัย สำนักข่าวต่างๆ จึงไม่ได้เปิดเผยรหัสผ่านตัวนี้ออกมา ทั้งนี้ Teusink พบว่าบัญชีดังกล่าวอาจถูกนำไปใช้ในการล็อกอินเข้าอุปกรณ์ที่มีช่องโหว่ได้ทั้งผ่าน SSH และอินเทอร์เฟซหน้าเว็บ เป็นต้น

เนื่องจากอินเทอร์เฟซ SSL VPN ทำงานบนพอร์ตเดียวกันกับอินเทอร์เฟซหน้าเว็บที่ผู้ใช้หลายรายต่างก็เปิดอนุญาตการสื่อสารผ่านพอร์ต 443 เข้าออกอินเทอร์เน็ตด้วย โดยจากการสแกนผ่านระบบ Project Sonar ทำให้พบอุปกรณ์ที่ตกอยู่ในความเสี่ยงมากมาย

อันได้แก่ อุปกรณ์ USG/ATP/VPN ของ Zyxel ในเนเธอร์แลนด์จำนวนกว่า 3,000 เครื่อง รวมทั้งอุปกรณ์จำนวนมากกว่า 1 แสนเครื่องทั่วโลกที่เปิดให้เข้าถึงอินเทอร์เฟซหน้าเว็บจากอินเทอร์เน็ตได้ ซึ่งช่องโหว่บนอุปกรณ์ VPN นั้นถือว่ามีอันตรายอย่างมาก

ด้วยเหตุผลที่ว่า ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการสร้างบัญชีวีพีเอ็นใหม่เพื่อเข้าถึงเครือข่ายภายใน หรือร้ายแรงกว่านั้นคือการสร้างกฎฟอร์เวิร์ดพอร์ตที่เปิดให้เข้าถึงบริการภายในได้แบบสาธารณะ เปลี่ยนการตั้งค่าไฟร์วอลล์ได้ดังใจ

ทั้งการเปิดอนุญาตหรือปิดกั้นทราฟิกต่างๆ ไปจนถึงเข้าดูข้อมูลบนทราฟิกเข้าออก ยิ่งถ้าผู้โจมตีใช้ช่องโหว่นี้ร่วมกับช่องโหว่เดิมอย่าง Zerologon ย่อมหมายถึงหายนะสำหรับธุรกิจขนาดเล็กและขนาดกลางอย่างไม่ต้องสงสัย

สำหรับรุ่นต่างๆ ที่โดนผลกระทบอยู่ตามตารางดังนี้

ที่มา : Bleepingcomputer