Zyxel CNM SecuManager中16个漏洞

近日，有安全研究人员警告称，网络硬件供应商Zyxel的CNM SecuManager软件充斥着尚未修补的漏洞，为黑客打开了非法利用的大门。研究人员总共发现了16个漏洞，从多个后门到默认凭证再到不安全的内存存储。

Zyxel CNM SecuManager是一个网络管理软件解决方案，提供一个集成控制台来监视和管理企业安全网关，例如ZyWALL USG及其VPN系列产品。当Threatpost联系Zyxel时，该公司并没有透露该产品的具体用户数量，只表示“数量有限”。

不过，安全研究人员Pierre Kim和Alexandre Torres在周一发布的一份报告中表示，“攻击点非常多，涉及多个不同的堆栈，而且一些守护进程以root身份运行，可以直接从WAN访问它。”

在周一，Zyxel拒绝就这项研究发表评论，并表示不知道有这份报告。而到了周三，Zyxel Gateway SBU的执行副总裁Nathan Yen主动联系了Threatpost，并表示该公司现在已经意识到漏洞的存在，并正在努力尽快解决这些问题。不过他没有具体指出是解决16个漏洞中的哪一个。

研究员Kim告诉Threatpost，他之所以没有提前透露给Zyxel漏洞信息，是因为他认为该供应商故意在其产品中创建后门，以方便远程遥控。

他表示：“在对付供应商植入的后门时，只有提前完全公开这个漏洞，才能迫使它们将其删除。”

研究人员表示，漏洞是在12月20日报告的，他们在周一通过网站和邮件公开了这些漏洞的信息。

漏洞

根据文章信息，存在问题的软件包括Zyxel CNM SecuManager的3.1.0和3.1.1版本——是在2018年11月的最新版本。

研究人员最关心的安全问题是使用了硬编码密钥的SSH服务，网络管理员使用这些密钥进行远程登录和控制硬件资产。

而另一个漏洞与管理帐户的预定义密码有关，“在默认情况下，我们可以从MySQL中提取预定义的管理员和预定义的用户”，MySQL是一个开源的关系数据库。研究人员认为可以轻易获取已存在的管理员/用户。

研究人员还表示，Zyxel CNM SecuManager通过云进行的管理是很不安全的。

默认情况下，myzxel.pyc用于与云进行通信，其中涉及一些硬编码变量，用于HTTPS通信中。而函数get_account_info使用了account_id，jwt_secret和jwt_secret_id。其中jwt_secret和jwt_secret_id是为每个设备生成的唯一的值。

在这种情况下，研究人员表示，攻击者可以使用SecuManager中API的后门，或者“对ZODB接口进行匿名访问去解密唯一值”来提取帐户信息。

ZODB，全称是Zope object Database，是一个面向对象的数据库，用于透明地、持久地存储Python对象。

Kim和Torres表示：“设备中可能会有更多0day漏洞，但由于时间限制，尚未进行更多地挖掘。”

Zyxel的承诺

根据Yen对Threatpost的书面回复，“虽然我们仍在调查列出的漏洞，但需要注意的是，CloudCNM SecuManager是根据特定的客户需求定制的网络管理工具，只有非常有限的客户在使用它。”

Yen告诉Threatpost,，CloudCNM SecuManager是与第三方供应商合作开发的，“我们正与他们合作解决这些漏洞。”

在撰写这篇文章时，Kim和Torres所指出的漏洞在公司的安全咨询页面上都找不到。

漏洞总结

完整的Zyxel CNM SecuManager漏洞列表如下：

1.Hardcoded SSH server keys

2.Backdoors accounts in MySQL

3.Hardcoded certificate and backdoor access in Ejabberd

4.Open ZODB storage without authentication

5.MyZyxel 'Cloud' Hardcoded Secret

6.Hardcoded Secrets, APIs

7.Predefined passwords for admin accounts

8.Insecure management over the 'Cloud'

9.xmppCnrSender.py log escape sequence injection

10.xmppCnrSender.py no authentication and clear-text communication

11.Incorrect HTTP requests cause out of range access in Zope

12.XSS on the web interface

13.Private SSH key

14.Backdoor APIs

15.Backdoor management access and RCE

16.Pre-auth RCE with chrooted access

研究人员最后表示，除了以上漏洞，这款产品使用的HTTPS通信并不安全（证书有问题），有可能会被攻击者劫持并修改流量。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://threatpost.com/flaws-zyxels-network-management-software/153554/