Useissa Zyxelin verkkolaitteissa nollapäivähaavoittuvuus (CVE-2020-9054)

Useissa Zyxelin valmistamissa VPN-, palomuuri- ja verkkotallennuslaitteissa on kriittinen haavoittuvuus, johon myydään hyväksikäyttömenetelmää internetin pimeillä markkinoilla. Hyökkääjä voi verkon välityksellä saada haavoittuvan laitteen suorittamaan antamaansa ohjelmakoodia ilman tunnistautumista ja ilman tavallisen käyttäjän toimenpiteitä. Zyxel on julkaissut pikakorjauksen tuotteille, joiden tuki on voimassa tai loppunut aikaisintaan vuonna 2017. Kyberturvallisuuskeskus suosittelee käyttäjiä asentamaan pikakorjauksen välittömästi. Vanhemmille haavoittuville tuotteille Zyxel ei julkaise korjaavaa ohjelmistopäivitystä.

Useiden Zyxelin verkkolaitteiden weblogin.cgi-sovelluksen voi käynnistää verkon yli ilman käyttäjän tunnistamista. Sovelluksessa on haavoittuvuus, joka sallii hyökkääjän lähettämän ohjelmakoodin suorittamisen verkkolaitteessa. Näin murtamansa verkkolaitteen kautta hyökkääjällä on paljon mahdollisuuksia hyökätä muita samassa verkossa olevia laitteita ja tietokoneita vastaan.

Zyxel on julkaissut pikakorjauksen tuotteille, joiden tuki on yhä voimassa tai loppunut aikaisintaan vuonna 2017. Kyberturvallisuuskeskus suosittelee käyttäjiä asentamaan pikakorjauksen välittömästi. Zyxel julkaisee pysyvän korjauksen haavoittuvuuteen maaliskuun 2020 laiteohjelmistopäivityksissä.

Vanhemmille haavoittuville tuotteille Zyxel ei julkaise korjaavaa ohjelmistopäivitystä. Kyberturvallisuuskeskus suosittelee, että käyttäjät poistavat haavoittuvan tuotteen käytöstä tai rajoittavat siihen pääsyä ainakin internetistä ja mahdollisuuksien mukaan myös sisäverkon lohkoista.

Haavoittuvuuden kohde

Zyxel on tarkastanut kaikkien tuotteidensa ohjelmistot ja varmistunut, että haavoittuvuus on seuraavissa tuotteissa ja ohjelmistoversioissa:

verkkotallennuslaitteet (NAS): laiteohjelmiston versio 5.21 ja sitä aiemmat ovat haavoittuvia
UTM-, ATP- ja VPN-palomuurituotteet: laiteohjelmiston versiot ZLD V4.35 Patch 0:sta versioon ZLD V4.35 Patch 2 asti ovat haavoittuvia. Versiota ZLD V4.35 Patch 0 edeltävät laiteohjelmistot eivät ole haavoittuvia.

Mistä on kysymys?

Zyxel ja Kyberturvallisuuskeskus suosittelevat Zyxelin haavoittuvuustiedotesivulta saatavan pikapäivityksen asentamista välittömästi. Zyxel on luvannut pysyvän korjauksen laiteohjelmistopäivityksissä, jotka se julkaisee maaliskuussa 2020. Sekin on suositeltavaa asentaa heti, kun se tulee saataville.

Seuraavien haavoittuvien tuotteiden tuki on loppunut vuonna 2016 tai aiemmin. Niille Zyxel ei julkaise korjaavia ohjelmistopäivityksiä:

NSA210
NSA220
NSA220+
NSA221
NSA310
NSA310S
NSA320
NSA320S
NSA325
NSA325v2

Zyxel ja Kyberturvallisuuskeskus suosittelevat, että näihin laitteisiin pääsy internetistä estettäisiin välittömästi. Ne kannattaa suojata lisäksi erillisellä suodattavalla reitittimellä tai palomuurilla, jos mahdollista. Kyberturvallisuuskeskus suosittelee harkitsemaan sellaisten tuotteiden poistamista käytöstä, joihin ei enää julkaista ohjelmistopäivityksiä ja joissa on tunnettuja haavoittuvuuksia.

Mitä voin tehdä?

Zyxelin haavoittuvuustiedote (CVE-2020-9054)
KrebsOnSecurity: Zyxel 0day Affects its Firewall Products, Too
MITRE Corporation, Common Vulnerabilities and Exposures: CVE-2020-9054

Muut

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.