image

Тайваньская компания Zyxel выпустила обновление, исправляющее критическую ошибку в своих устройствах сетевого хранилища (NAS) — её могли использовать для удалённого доступа и управления ими. Обновление вышло через 12 дней после того, как американский журналист Брайан Кребс предупредил компанию, что киберпреступники продают инструкции по использованию уязвимости за $20 000.

Издание KrebsOnSecurity узнало об уязвимости 12 февраля от компании Hold Security. Её глава, Алекс Холден, рассказал, что получил копию кода эксплойта, позволяющего получить незаконный доступ к сетевым хранилищам Zyxel. По его словам, код ему продал киберпреступник с никнеймом 500mhz, как раз специализирующийся на 0day-уязвимостях. Эта и предыдущие инструкции, предоставленные хакером, сопровождались исчерпывающей документацией, которая подробно описывала все подробности уязвимости. В них содержались описания инструментов, необходимых для неправомерного использования ошибки, пошаговые инструкции по взлому, советы по сокрытию следов взлома и примеры поисковых запросов, которые могли бы вывести злоумышленников на тысячи устройств, обладающих уязвимостью.

Журналисты обнаружили профиль 500mhz на одном из русскоязычных хакерских форумов. В нём говорится, что злоумышленник регулярно покупает и продаёт различные 0day/Nday-уязвимости.

image

Издание Кребса рассказало Zyxel об ошибке в тот же день, когда получили сведения о ней, 12 февраля. Сначала компания никак не отреагировала на отправленное ей письмо, поэтому спустя четыре дня KrebsOnSecurity известило о ней Министерство внутренней безопасности США и Координационный центр CERT, после чего на следующие сутки Zyxel наконец ответила изданию и поблагодарила за предупреждение.

По заявлению компании, уязвимость распространяется на 14 моделей сетевых накопителей Zyxel:
NAS542, NAS540, NAS520, NAS326, NSA325 v2, NSA325, NSA320S, NSA320, NSA310S, NSA310, NSA221, NSA220 +, NSA220 и NSA210.

Многие из этих устройств уже не получают обновления софта, и уязвимости в них исправлены не будут. Zyxel опубликовала рекомендации по их исправлению для пользователей устаревшими накопителями, которые, впрочем, выглядят как «отключите им прямой доступ в интернет», отмечает KrebsOnSecurity. Для дополнительной защиты их следует подключить к защитному маршрутизатору или брандмауэру, говорится в заявлении компании.

При этом, говорит Холден, эксплойт, позволяющий получить удалённый доступ к сетевым хранилищам, очень прост в использовании — учитывая это, другие устройства Zyxel тоже могут быть в опасности. Координационный центр CERT оценил серьёзность уязвимости в максимальные 10 баллов.

Zyxel Communications Corp., базирующаяся на Тайване, производит сетевые устройства, включая маршрутизаторы Wi-Fi, сетевые накопители и аппаратные брандмауэры. В компании работает около 1500 сотрудников, и по всему миру установлено около 100 миллионов устройств. Несмотря на то, что найденная в накопителях компании уязвимость чрезвычайно распространена среди всех устройств этого класса, этот недостаток примечателен тем, что привлек интерес преступных организаций, которые могут использовать её в целях вымогательства, говорит Кребс.