Istraživač je otkrio ZyXEL router backdoor akreditiv skriven unutar LTE routera. Tvrdo kodirani akreditiv praćen je kao CVE-2022-40602 i omogućava daljinski pristup napadaču.
Istraživač (ReSolver) otkrio je lozinku skrivenu unutar ZyXEL LTE3301-M209 firmware routera. Firmware ovog uređaja, koji se sastoji od tri glavna odjeljka LZMA odjeljak, root-fs i www sadržaj, ima datoteku koja sadrži ispisani akreditiv.
Datoteka, pohranjena unutar odjeljka www sadržaja, sadrži Zlib magic bytes.
Ovi Zlib agic bytes mogu se čitati pomoću uslužnih programa OpenSSL ili zlib-flate u Unixu. Alternativno, u sistemu Windows OS, korisnik može pretvoriti zlib datoteku u gzip datoteku i zatim je pročitati koristeći 7zip.
Kada je istraživač raspakirao datoteku, otkrio je telnet lozinku za prijavu. Nadalje, postojale su WebUI akreditivi koje su napadaču mogle omogućiti upravljanje uređajem.
Nekoliko dana kasnije, isti je stručnjak pronašao Telnet backdoor i u D-Linku DWR-921. Firma je objavila sigurnosni bilten, no odbili su popraviti grešku jer je proizvod došao do kraja životnog vijeka (EOL).
Dana 12. septembra ZyXEL-u je prijavljena ranjivost. Firma je tražila detalje za repliciranje ranjivosti, koje je istraživač dao.
ZyXEL je 14. septembra potvrdio probleme koji utječu na model LTE3301-M209 i radio na problemu kako bi ga riješio.
U oktobru problem je prijavljen kao CVE-2022-40602.
ZyXEL je 22. novemba objavio sigurnosni bilten i objavljen je popravak firmwarea.
U decembru izdanje je javno objavljeno.
Korisnicima ranjivih routera predlaže se da ga odmah zakrpe.
Štoviše, koordinacija između istraživača i ZyXEL-a naglašava činjenicu da jasna komunikacija i ssradnja između dvije komplementarne stvari mogu značajno smanjiti rizike iskorištavanja takvih grešaka.
IZVOR: CyWare
