Hétfőn adott ki a Zyxel egy biztonsági frissítést a hálózati tárolóihoz (NAS – Network Attached Storage), mert azokban olyan nulladik napi sebezhetőséget fedezett fel a KrebsonSecurity és a Holden Security, amely lehetővé teszi az eszközök fölötti irányítás átvételét. Tegnap azonban kiderült, hogy a gyártó tűzfaltermékeinek firmware-ében is megvan ugyanaz a hiba.

Nem álltak a helyzet magaslatán

Amint azt Brian Krebs a blogján megírta, a sötét weben egy '500 MHz' álnéven működő – nagy valószínűséggel orosz – kiberbűnöző 20 ezer dollárért árul egy olyan exploitot, amely a Zyxel NAS-ok nulladik napi sérülékenységét aknázza ki. Krebs felvette a kapcsolatot Alex Holden biztonsági kutatóval, a Holden Security alapítójával, aki megvizsgálta a kódot, majd értesítették a gyártót.

A Zyxel azonban, bár több csatornán is jelezték a sérülékenységet, több napig nem reagált. Így értesítették az amerikai belbiztonsági minisztériumot, és a CERT koordinációs központját, melyek szintén felvették a kapcsolatot a tajvani céggel. A hibát a CERT a legmagasabb veszélyességűnek minősítette, és mint megállapította, a hiba kihasználásra készített kóddal akár a NAS-ok távoli kikapcsolását is meg lehet oldani.

Ennek hatására már a Zyxel is lépett, és mintegy két héttel Krebs jelzése után megérkezett a gyorsjavítás is. A már nem támogatott NAS-okra azonban nem adtak ki foltot. A NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 és NSA325v2 modelleket használóknak azt javasolták, hogy ne kapcsolják közvetlenül a netre, hanem rejtsék tűzfal mögé a tárolójukat.

Csakhogy pár nappal később Holdenék kiderítették: a Zyxel tűzfalak firmware-ében is megvan ugyanaz a sérülékenység. Erre már tényleg gyorsan reagált a gyártó, már másnap kiadott egy rapid javítást, de jelezte, hogy a teljes firmware-frissítés csak márciusban érkezik. A hiba minden olyan UTM, ATP és VPN tűzfalat érint, melyek a ZLD V4.35 Patch 0 és Patch 2 firmware-verziókkal futnak, a korábbi verziókat azonban nem (a teljes terméklista és a gyorsjavítás itt található). Gyorsjavítást ebben az esetben is csak a támogatott, 2016-tól gyártott tűzfalakra adtak ki.

Már dolgoznak a kihasználásán

Alex Holden szerint az exploit kiaknázásán már dolgoznak a kiberbűnözők. A kutató szerint elsősorban az egyik legnépszerűbb kártevő, az Emotet révén próbálják kihasználni a sérülékenységet.

Az Emotet, amelynek tavaly már több mint 70 ezer különböző változatát azonosították biztonsági kutatók, eredetileg banki trójaiként volt ismert. Tavaly azonban már leginkább kártevőterjesztő (pl. zsarolóvírusokhoz) és adathalász programként bukkant fel. Németországban például rengeteg közigazgatási intézmény, egyetem és kórház esett áldozatul Emotettel végrehajtott támadásoknak.

Holden szerint ebben az aggasztó, hogy míg a korábban elsősorban PC-ket és szervereket támadtak az Emotet segítéségével, a Zyxel-termékek sérülékenységét kiaknázva az IoT-eszközök is a támadások célkeresztjébe kerültek. A szakértő egyébként azt javasolja, hogy aki olyan Zyxel-terméket használ, melyre a gyártó nem ad ki javítást, jobban teszi, ha lecseréli.