Жестко закодированные ключи, скрытые административные аккаунты, многочисленные ошибки — все это выявлено в Zyxel Cloud CNM Secu Manager. В самой компании Zyxel утверждают, что этот пакет поставляется очень небольшому числу клиентов.
Ключи от черного входа
В программных пакетах для управления сетевой инфраструктурой фирмы Zyxel выявлены полтора десятка уязвимостей, в том числе многочисленные бэкдоры, зашитые SSH-ключи, возможность удаленного запуска произвольного кода и т. д.
Исследователи Пьер Ким (PierreKim) и Александр Торрес выявили проблемы в пакете Zyxel Cloud CNM Secu Manager, который предназначен для управления шлюзами безопасности ZyWALL серий USG и VPN. Исследователи нашли жестко закодированные серверные SSH-ключи и сертификаты и скрытый доступ в Ejabberd; доступ в хранилище Open ZODB без авторизации, закодированный секретный ресурс-файл для сервиса MyZyxel, предустановленные пароли для административных аккаунтов, XSS-уязвимость, бэкдор-доступ и возможность удаленного запуска произвольного кода в веб-интерфейсе и многое другое.
Вдобавок по умолчанию отключен файерволл, некоторые демоны запускаются с правами root и доступны из беспроводной сети. В общем, «поверхность атаки» огромна, а уязвимости можно эксплуатировать в самых разных комбинациях. Впрочем, использование предустановленных административных аккаунтов с жестко закодированными паролями уже достаточно.
Уязвимыми оказываются версии Zyxel CNM Secu Manager 3.1.0 и 3.1.1, последний раз обновлявшиеся в ноябре 2018 г.
Оставили преднамеренно?
Что интересно, эксперты опубликовали информацию об уязвимостях, не поставив Zyxel в известность; они сами полагают, что разработчик преднамеренно оставил все эти бэкдоры.
Со своей стороны, разработчик проблемного ПО подтвердил наличие проблем и сообщил, что ведется расследование. Также в Zyxel отметили, что CloudCNMSecuManager поставляется «очень ограниченному количеству клиентов».
«Оставлять подобные уязвимости намеренно было бы очень странным решением, вне зависимости от того, кому поставляется данное решение, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Большая часть ошибок выглядит как типичные отладочные артефакты, которые разработчики забыли или не успели устранить перед финальным релизом.