Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Zyxel

Zyxel

Zyxel memperingatkan kelemahan yang memengaruhi firewall, AP, dan pengontrol

by

Zyxel telah menerbitkan penasihat keamanan untuk memperingatkan admin tentang beberapa kerentanan yang memengaruhi berbagai produk firewall, AP, dan pengontrol AP.

Meskipun kerentanan tidak dinilai kritis, kerentanan itu sendiri masih signifikan dan dapat disalahgunakan oleh aktor ancaman sebagai bagian dari rantai eksploitasi.

Organisasi besar menggunakan produk Zyxel, dan setiap kelemahan yang dapat dieksploitasi di dalamnya segera menarik perhatian pelaku ancaman.

Empat kelemahan yang diungkapkan dalam penasehat Zyxel adalah sebagai berikut:

  • CVE-2022-0734: Kerentanan skrip lintas situs dengan tingkat keparahan sedang (CVSS v3.1 – 5.8) dalam komponen CGI, memungkinkan penyerang menggunakan skrip pencurian data untuk mengambil cookie dan token sesi yang disimpan di browser pengguna.
  • CVE-2022-26531: Tingkat keparahan sedang (CVSS v3.1 – 6.1) cacat validasi yang tidak tepat di beberapa perintah CLI, memungkinkan penyerang terotentikasi lokal menyebabkan buffer overflow atau sistem crash.
  • CVE-2022-26532: Cacat injeksi perintah tingkat keparahan tinggi (CVSS v3.1 – 7.8) di beberapa perintah CLI, memungkinkan penyerang terotentikasi lokal untuk mengeksekusi perintah OS yang sewenang-wenang.
  • CVE-2022-0910: Tingkat keparahan sedang (CVSS v3.1 – 6.5) otentikasi memotong kerentanan dalam komponen CGI, memungkinkan penyerang untuk menurunkan versi dari otentikasi dua faktor ke otentikasi satu faktor melalui klien VPN IPsec.

    • Kerentanan di atas berdampak pada USG/ZyWALL, USG FLEX, ATP, VPN, firewall NSG, pengontrol AP NXC2500 dan NXC5500, dan berbagai produk Titik Akses, termasuk model seri NAP, NWA, WAC, dan WAX.

    Produk firewall yang terkena dampak (Zyxel)

    Zyxel telah merilis pembaruan keamanan yang mengatasi masalah untuk sebagian besar model yang terpengaruh.

    Namun, admin harus meminta perbaikan terbaru dari perwakilan layanan lokal mereka untuk pengontrol AP karena perbaikan tidak tersedia untuk umum.

    Untuk firewall, USG/ZyWALL mengatasi masalah dengan firmware versi 4.72, USG FLEX, ATP, dan VPN harus ditingkatkan ke ZLD versi 5.30, dan produk NSG menerima perbaikan melalui v1.33 patch 5.

    Meskipun kerentanan ini tidak kritis, tetap sangat disarankan agar admin jaringan memutakhirkan perangkat mereka sesegera mungkin.

    Sumber: Bleeping Computer

Zyxel diam-diam memperbaiki kerentanan RCE kritis dalam produk firewall

by

Analis ancaman yang menemukan kerentanan yang memengaruhi beberapa produk Zyxel melaporkan bahwa perusahaan peralatan jaringan memperbaikinya melalui pembaruan diam yang dikeluarkan dua minggu lalu.

Lebih khusus lagi, peneliti keamanan di Rapid7 menemukan kelemahan tersebut, yang sekarang dilacak sebagai CVE-2022-30525 (skor CVSS v3: 9,8 – kritis), dan mengungkapkannya kepada Zyxel pada 13 April 2022.

Cacatnya adalah injeksi perintah jarak jauh yang tidak diautentikasi melalui antarmuka HTTP, yang memengaruhi firewall Zyxel yang mendukung Zero Touch Provisioning (ZTP). Versi firmware yang terpengaruh adalah ZLD5.00 hingga ZLD5.21 Patch 1.

CVE-2022-30525 berdampak pada model berikut:

USG FLEX 50, 50W, 100W, 200, 500, 700 menggunakan firmware 5.21 ke bawah
USG20-VPN dan USG20W-VPN menggunakan firmware 5.21 ke bawah
ATP 100, 200, 500, 700, 800 menggunakan firmware 5.21 dan di bawah
Produk ini biasanya digunakan di cabang kecil dan kantor pusat perusahaan untuk VPN, inspeksi SSL, perlindungan intrusi, keamanan email, dan pemfilteran web.

“Perintah dijalankan sebagai pengguna “bukan siapa-siapa”. Kerentanan ini dieksploitasi melalui /ztp/cgi-bin/handler URI dan merupakan hasil dari meneruskan input penyerang yang tidak bersih ke dalam metode os.system di lib_wan_settings.py,” jelas laporan Rapid 7.

“Fungsi yang rentan dipanggil terkait dengan perintah setWanPortSt. Seorang penyerang dapat menyuntikkan perintah sewenang-wenang ke dalam mtu atau parameter data.”

Zyxel mengkonfirmasi laporan dan validitas cacat dan berjanji untuk merilis pembaruan keamanan perbaikan pada Juni 2022, namun mereka merilis tambalan pada 28 April 2022, tanpa memberikan nasihat keamanan, detail teknis, atau panduan mitigasi kepada pelanggannya.

Hari ini, Rapid 7 menerbitkan laporan pengungkapannya bersama dengan modul Metasploit yang sesuai yang mengeksploitasi CVE-2022-30525 dengan menyuntikkan perintah di bidang MTU.

Peneliti yang menemukan cacat dan mengembangkan eksploitasi yang berfungsi untuk pengujian, Jake Baines, juga telah menerbitkan video demonstrasi berikut.

Konsekuensi khas dari serangan semacam itu adalah modifikasi file dan eksekusi perintah OS, yang memungkinkan pelaku ancaman mendapatkan akses awal ke jaringan dan menyebar secara lateral melalui jaringan.

“Firewall Zxyel yang terpengaruh oleh CVE-2022-30525 adalah apa yang biasanya kami sebut sebagai “poros jaringan”. Eksploitasi CVE-2022-30525 kemungkinan akan memungkinkan penyerang membangun pijakan di jaringan internal korban,” kata Rapid7 kepada BleepingComputer.

“Contoh nyata dari serangan semacam ini adalah serangan Phineas Fisher terhadap Tim Peretasan, di mana Fisher mengeksploitasi firewall/VPN yang menghadap internet.”

“Setelah Fisher memiliki akses penuh ke firewall/VPN, mereka dapat berpindah secara lateral ke sistem internal (misalnya database MongoDB, penyimpanan NAS, server Exchange).”

Karena detail teknis dari kerentanan telah dirilis dan sekarang didukung oleh Metasploit, semua admin harus segera memperbarui perangkat mereka sebelum pelaku ancaman mulai secara aktif mengeksploitasi kelemahan tersebut.

Rapid 7 melaporkan bahwa pada saat penemuan, setidaknya ada 16.213 sistem rentan yang terpapar ke internet, menjadikan kerentanan ini sebagai target yang menarik bagi pelaku ancaman.

Hasil Shodan dari firewall Zyxel yang rentan (Rapid7)

Jika pembaruan ke versi terbaru yang tersedia tidak memungkinkan, Anda disarankan untuk setidaknya menonaktifkan akses WAN ke antarmuka web administratif produk yang terpengaruh.

Sumber: Bleeping Computer

Akun Backdoor ditemukan di lebih dari 100.000 firewall Zyxel, gateway VPN

by

Lebih dari 100.000 firewall Zyxel, gateway VPN, dan pengontrol titik akses berisi akun backdoor tingkat admin yang di-hardcode yang dapat memberi penyerang akses root ke perangkat melalui antarmuka SSH atau panel administrasi web.

Akun backdoor, yang ditemukan oleh tim peneliti keamanan Belanda dari Eye Control, dianggap seburuk kerentanannya.

Pemilik perangkat disarankan untuk memperbarui sistem segera setelah waktu memungkinkan.

Ini termasuk lini produk Zyxel seperti:

  • seri Advanced Threat Protection (ATP) – digunakan terutama sebagai firewall
  • seri Unified Security Gateway (USG) – digunakan sebagai firewall hibrid dan gateway VPN
  • seri USG FLEX – digunakan sebagai firewall hibrid dan gateway VPN
  • seri VPN – digunakan sebagai gateway VPN
  • seri NXC – digunakan sebagai pengontrol titik akses WLAN

sumber : ZDNET

Lebih Dari 100 Router Wi-Fi Gagal Dalam Tes Keamanan Utama – Ini Yang Harus Anda Lakukan

by

Hampir semua router Wi-Fi rumahan yang diuji dalam studi massal oleh Fraunhofer Institute yang terkenal di Jerman memiliki kerentanan keamanan serius yang dapat dengan mudah diperbaiki oleh pembuat router, sebuah laporan baru-baru ini dirilis.

Menggunakan perangkat lunak analitiknya sendiri, institut ini menguji firmware terbaru yang tersedia untuk 117 model Wi-Fi rumahan yang saat ini dijual di Eropa, termasuk router dari ASUS, D-Link, Linksys, Netgear, TP-Link, Zyxel dan AVM merek Jerman. Model-model itu sendiri tidak diuji secara fisik.

Daftar lengkap model dan firmware yang diuji ada di GitHub. Lembaga ini tidak dapat memeriksa 10 model firmware lagi, kebanyakan dari Linksys. Laporan mencatat bahwa banyak pembaruan firmware dikeluarkan tanpa memperbaiki kekurangan yang diketahui.

Sejauh ini AVM menjadi yang terbaik di antara tujuh merek router yang diperiksa, meskipun bukan tanpa cacat. ASUS dan Netgear tidak membuat hasil yang baik, tetapi mereka tidak separah D-Link, Linksys, TP-Link dan Zyxel.

Kelemahan yang diteliti termasuk firmware yang tidak terbaru (D-Link DSL-321B Z belum diperbarui sejak 2014); Kernel Linux yang kedaluwarsa (Linksys WRT54GL menggunakan kernel dari tahun 2002); kegagalan untuk menerapkan teknik keamanan umum (di sini AVM jauh lebih baik daripada yang lain); kunci pribadi (private keys) rahasia yang tertanam dalam firmware sehingga siapa pun dapat menemukannya (Netgear R6800 memiliki 13); dan nama pengguna & kata sandi administratif hard-coded yang memungkinkan pengambil-alihan perangkat secara penuh (hanya ASUS yang tidak memilikinya).

Linksys WRT54GL terakhir memiliki firmware yang diperbarui pada Januari 2016, salah satu firmware tertua dalam penelitian ini. Linksys WRT54GL pertama kali dirilis pada tahun 2005 dan masih dijual hingga hari ini, meskipun hanya menangani protokol Wi-Fi hingga 802.11g.

Apa Yang Harus Anda Lakukan?

Anda dapat memastikan bahwa router berikutnya yang Anda beli dapat menginstal pembaruan firmware secara otomatis. Anda dapat memeriksa untuk melihat apakah router Anda saat ini melakukannya, atau membuatnya cukup mudah untuk menginstal pembaruan firmware secara manual.

Anda juga harus memastikan bahwa kata sandi administratif untuk router Anda telah diubah dari kata sandi default. (Periksa daftar kata sandi default di https://www.routerpasswords.com.) Anda juga harus memeriksa antarmuka administratif untuk memastikan bahwa UPnP dan akses jarak jauh dinonaktifkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tom’s Guide