idNSA.id - Peneliti keamanan ReSolver mengumumkan penemuan
kredensial hardcoded (CVE-2022-40602) di router indoor ZyXEL LTE3301-M209 LTE.
Dalam penelitian sebelumnya, ahli menemukan backdoor Telnet di D-Link DWR-921 yang juga ada di ZyXEL LTE3301-M209.
Peneliti menganalisis ELF komandan, berfokus pada fungsi
amit* yang berisi backdoor di router D-Link.
"Firmware pada dasarnya adalah gabungan dari 3 bagian,
bagian LZMA adalah kernel, di 0x148CD6 root-fs dan di 0x90BD36 konten
www." tulis pakar tersebut . "Di dalam Squashfs terakhir ada file
[disensor] yang berisi 0x10 byte sihir Zlib."
Setelah membongkar file, ReSolver memperhatikan urutan berikut:
Meskipun dia tidak menemukan kredensial Telnet, dia menemukan
sesuatu yang terlihat seperti backdoor di webUI.
“Sama seperti sebelumnya dan unpack config.dat akan berisi
kata sandi login telnet” kata sang ahli. “Mari kita simpulkan: Di ZyXEL LTE3301
kami memiliki dua cara untuk memiliki perangkat: pertama kredensial webUI
-> nama pengguna / WebUIFakePassword
dan kedua kredensial telnet -> root /
TelnetFakePassword
Pemilik perangkat yang terkena dampak harus memutakhirkannya
dengan rilis firmware terbaru sesegera mungkin.
Di bawah ini adalah garis waktu untuk masalah ini:
12 Sep 2022: Kerentanan dilaporkan ke ZyXEL
13 Sep 2022: ZyXEL meminta detail untuk mereplikasi kerentanan.
13 Sep 2022: Detail dikirim ke ZyXEL.
14 Sep 2022: ZyXEL mengonfirmasi bahwa masalah tersebut hanya memengaruhi model LTE3301-M209. Mereka sedang bekerja dengan vendor untuk memperbaikinya. Mereka meminta untuk merahasiakan informasi tersebut sampai tambalan dirilis.
17 Sep 2022: Menunggu tambalan.
19 Okt 2022: Masalahnya sekarang dilacak oleh CVE-2022-40602
22 Nov 2022: Buletin keamanan ZyXEL diterbitkan. Perbaikan firmware telah dirilis.
24 Des 2022 Semoga pengguna sekarang telah memperbarui perangkat mereka sendiri, Saatnya membuat posting blog saya menjadi publik.
Pakar dan Zyxel PSIRT memutuskan untuk menghindari
pengungkapan kredensial untuk mencegah eksploitasi besar-besaran.
