Le correctif intervient au milieu d’une exploitation active par des gangs de rançongiciels
Fournisseur de matériel réseau Zyxel a publié aujourd’hui une mise à jour pour corriger une faille critique dans bon nombre de ses périphériques de stockage en réseau (NAS) qui peuvent être utilisés pour les réquisitionner à distance. Le correctif intervient 12 jours après que BreachTrace a alerté l’entreprise que des instructions précises pour exploiter la vulnérabilité étaient vendues pour 20 000 $ dans le cybercrime souterrain.
Basé à Taïwan, Zyxel Communications Corp. (alias « ZyXEL ») est un fabricant de dispositifs de mise en réseau, y compris des routeurs Wi-Fi, des produits NAS et des pare-feu matériels. L’entreprise compte environ 1 500 employés et compte quelque 100 millions d’appareils déployés dans le monde. Alors qu’à bien des égards, la classe de vulnérabilité abordée dans cette histoire est malheureusement courante parmi les appareils de l’Internet des objets (IoT), la faille est notable car elle a suscité l’intérêt de groupes spécialisés dans le déploiement de ransomwares à grande échelle.
BreachTrace a été informé pour la première fois de la faille le 12 février par Alex Holdenfondateur d’une société de sécurité basée à Milwaukee Garder la sécurité. Holden avait obtenu une copie du code d’exploitation, qui permet à un attaquant de compromettre à distance plus d’une douzaine de types de produits Zyxel NAS à distance sans aucune aide des utilisateurs.
Un extrait de la documentation fournie par 500mhz pour le Zyxel 0day.
Holden a déclaré que le vendeur du code d’exploitation – un bon à rien qui porte le surnom « 500mhz” – est connu pour être fiable et minutieux dans ses ventes d’exploits 0day (alias “zero-days”, ce sont des vulnérabilités dans les produits matériels ou logiciels que les fournisseurs découvrent pour la première fois lorsque le code d’exploitation et/ou l’exploitation active apparaît en ligne).
Par exemple, ce jour zéro et les précédents à vendre par 500 MHz étaient accompagnés d’une documentation exhaustive détaillant pratiquement tout sur la faille, y compris toutes les conditions préalables nécessaires pour l’exploiter, des instructions de configuration étape par étape, des conseils sur la façon de supprimer les traces d’exploitation, et exemples de liens de recherche qui pourraient être utilisés pour localiser facilement des milliers d’appareils vulnérables.
Le profil de 500mhz sur un forum de cybercriminalité indique qu’il achète, vend et échange constamment diverses vulnérabilités 0day.
« Dans certains cas, il est possible d’échanger votre 0day avec mon 0day existant, ou de vendre le mien », lit-on sur son profil en russe.
La page de profil de 500mhz, traduite du russe vers l’anglais via Google Chrome.
PATCH PARTIEL
BreachTrace a d’abord contacté Zyxel le 12 février, partageant une copie du code d’exploitation et une description de la vulnérabilité. Lorsque quatre jours se sont écoulés sans aucune réponse du fournisseur aux notifications envoyées via plusieurs méthodes, cet auteur a partagé les mêmes informations avec les analystes de vulnérabilité du Département américain de la sécurité intérieure (DHS) et avec le Centre de coordination CERT (CERT/CC), un partenariat entre le DHS et L’université de Carnegie Mellon.
Moins de 24 heures après avoir contacté le DHS et le CERT/CC, BreachTrace a eu une réponse de Zyxel, qui a remercié BreachTrace pour l’alerte sans reconnaître son incapacité à répondre jusqu’à ce que d’autres lui envoient les mêmes informations.
« Merci d’avoir signalé », a écrit l’équipe de Zyxel le 17 février. « Nous venons de recevoir une alerte des mêmes vulnérabilités de l’US-CERT au cours du week-end, et nous sommes maintenant en train d’enquêter. Pourtant, nous sommes de tout cœur merci de l’avoir porté à notre attention.
Plus tôt dans la journée, Zyxel a envoyé un message disant qu’il avait a publié un avis de sécurité et un correctif pour l’exploit zero-day dans certains de ses produits concernés. Les appareils vulnérables incluent NAS542, NAS540, NAS520, NAS326, NSA325 v2, NSA325, NSA320S, NSA320, NSA310S, NSA310, NSA221, NSA220+, NSA220 et NSA210. Le défaut est désigné comme CVE-2020-9054.
Cependant, bon nombre de ces appareils ne sont plus pris en charge par Zyxel et ne seront pas corrigés. Le conseil de Zyxel pour ces utilisateurs est simplement « ne laissez pas le produit directement exposé à Internet ».
« Si possible, connectez-le à un routeur de sécurité ou à un pare-feu pour une protection supplémentaire », indique l’avis.
Holden a déclaré qu’étant donné la simplicité de l’exploit – qui permet à un attaquant de prendre le contrôle à distance d’un appareil affecté en injectant seulement deux caractères dans le champ du nom d’utilisateur du panneau de connexion des appareils Zyxel NAS – il est probable que d’autres produits Zyxel peuvent avoir des vulnérabilités connexes.
« Compte tenu de la stupidité de cet exploit, je suppose que ce n’est pas le seul de sa catégorie dans leurs produits », a-t-il déclaré.
CERT avis sur la faille l’évalue à « 10 » – son plus grave. L’avis comprend des instructions d’atténuation supplémentaires, y compris un exploit de preuve de concept qui a la capacité de mettre hors tension les appareils Zyxel concernés.
EMOLET PASSÉ À L’IOT ?
Holden a déclaré que l’activité récente suggère que les attaquants connus pour déployer des ransomwares ont travaillé activement pour tester le jour zéro pour une utilisation contre des cibles. Plus précisément, Holden a déclaré que l’exploit est maintenant utilisé par un groupe de méchants qui cherchent à intégrer l’exploit dans émoticôneun outil malveillant puissant généralement diffusé via le spam qui est fréquemment utilisé pour ensemencer une cible avec un code malveillant qui détient les fichiers de la victime contre une rançon.
Holden a déclaré que 500 MHz offrait l’exploit Zyxel pour 20 000 $ sur les forums de cybercriminalité, bien qu’il ne soit pas clair si le gang Emotet a payé près de ce montant pour accéder au code. Pourtant, a-t-il dit, les gangs de ransomwares pourraient facilement récupérer leur investissement en compromettant avec succès une seule cible avec cet exploit simple mais très fiable.
« Du point de vue de l’attaquant, c’est simple, c’est mieux », a-t-il déclaré. « La valeur commerciale de cet exploit a été fixée à 20 000 $, mais ce n’est pas beaucoup si l’on considère qu’un gang de rançongiciels pourrait facilement récupérer cet argent, puis en peu de temps. »
Les incursions naissantes d’Emotet dans l’IoT surviennent au milieu d’autres développements inquiétants pour la plate-forme d’exploitation prolifique. Plus tôt ce mois-ci, des chercheurs en sécurité ont noté qu’Emotet avait désormais la capacité de se propager à la manière d’un ver via les réseaux Wi-Fi.
« Pour moi, un exploit 0day dans Zyxel n’est pas aussi effrayant que celui qui l’a acheté », a-t-il déclaré. « Les gars d’Emotet ont toujours ciblé les PC, les ordinateurs portables et les serveurs, mais leur aventure maintenant dans les appareils IoT est très inquiétante. »
DÉBAT SUR LA DIVULGATION
Cette expérience nous a rappelé que le signalement et la correction des vulnérabilités peuvent souvent être un processus frustrant. Un délai de douze jours est assez rapide pour ces choses, mais probablement pas assez rapide pour les clients utilisant des produits affectés par des vulnérabilités de jour zéro.
Il peut être tentant, lorsque l’on ne reçoit aucune réponse d’un fournisseur, de simplement publier une alerte détaillant ses découvertes, et la pression pour le faire augmente certainement lorsqu’il y a une faille zero-day impliquée. BreachTrace a finalement choisi de ne pas le faire pour trois raisons.
Premièrement, à l’époque, il n’y avait aucune preuve que les failles étaient activement exploitées, et parce que le fournisseur avait assuré le DHS et le CERT-CC qu’il aurait bientôt un correctif disponible.
Peut-être plus important encore, la divulgation publique d’une faille non corrigée aurait bien pu aggraver une mauvaise situation, sans offrir aux utilisateurs concernés beaucoup d’informations sur la manière de protéger leurs systèmes.
De nombreux fournisseurs de matériel et de logiciels incluent un lien depuis leur page d’accueil vers /security.txt, qui est une norme proposée pour permettre aux chercheurs en sécurité d’identifier rapidement les points de contact chez les fournisseurs lorsqu’ils cherchent à signaler des vulnérabilités de sécurité. Mais même les fournisseurs qui n’ont pas encore adopté cette norme (Zyxel ne l’a pas fait) répondront généralement aux rapports sur security@[vendordomainhere]; en effet, Zyxel encourage les chercheurs à transmettre ces rapports à [email protected].
Au sujet de la divulgation complète, je dois noter que bien que cet auteur soit répertorié par le site de Hold Security en tant que conseiller, BreachTrace n’a jamais demandé ni reçu de rémunération d’aucune sorte en rapport avec ce rôle.