Networkforensic
Threat hunting
Zyxel sårbarheder og exploit
29 Maj 2023 - Blog Post # 853
Zyxel CVE-2023-28771
Hen over den sidste uges tid er Zyxel sårbarheder blevet
udnyttet meget hårdt. Mange er på denne konto røget grundet
upatchet firmware, på for åbne systemer der ikke er opsat efter best
pratice, (Kommer jeg lige tilbage til) som i virkeligheden er en
default "fejl" konfiguration i servicegrupper, som Zyxel faktisk
laver.
POC er allerede frigivet
Er man ikke patchet (firmware opdateret) allerede nu, eller bruger sikre
opsætninger, så har man helt sikkert allerede en hacket firewall.
CVE numre: Man skal bruge
V4.73(AAKZ.2)C0 - 2023/05/24
CVE-2023-33009
CVE-2023-33010
V4.73(AAKZ.1)C0 - 2023/04/17
CVE-2022-38547
CVE-2023-22913
CVE-2023-22914
CVE-2023-22915
CVE-2023-22918
CVE-2023-27990
CVE-2023-27991
CVE-2023-28771
Stor kritik herfra til Zyxel
Ved ikke hvorfor Zyxel syntes det er en god ide, at alle deres
firewalls altid kommer med default adgang til Web-interfacet på
outside WAN siden (Hele verden). Her er der også ting som ike, gre
og et par andre ting og det er defalut adgang til for hele verden.
Det ligger som standard i deres servicegrupper hvor man skal ind og
fjerne det. Her burde det være noget der skulle tilvælges og ikke
fravælges. Troede efterhånden at ingen gjorde det her mere. MEN det
har betydet at Zyxel rent faktisk selv har gjort så RIGTIG mange af
deres kunder er blevet hacket.
Generalle anbefalinger.
Noget jeg altid har været modstander af er TLS/VPN adgange, såfremt
det giver angang til et web-interface hvor brugerne skal logge ind.
Netop i Zyxel er det tilfældet. Her bør man kun bruge VPN klienter
og ikke have noget stående åbent med mindre det er opsat i "point to
point" til noget man virkelig stoler på. Man kan også bruge L2TP
over IPSec, med certifikater på. Så behøver man ikke VPN klienter
men kan bruge Iphone, Windows osv.
Mange har også den opfattelse af at disse adgange altid skal stå
åben for hele verden. Vil man have det her så, opsæt VPN adgange så
det kun bliver eks DK ip adresser der kan logge ind, eller det
bedste er altid "point to point"
I mine øjne er det simpelthen dårligt admin adrbejde af værste
skuffe, når det er åbent til hele verden og især web-interface til
en firewall som står åbent. Få dem fjernet....... DET SKAL IKKE STÅ
ÅBENT.
En anden general ting jeg tit støder på, er åbne adgang til eks
firewalls fra alle lokale ip adresser på LAN siden. Det er heller
ikke noget der skal være åbent. Her skal man lave IP firewall regler
der kun tillader adgang fra bestemte admin IP adresser. Alle fra
alle LAN's skal ikke have adgang, det vil kun gå galt.
En sidste ting er Wireless. Man skal idag ikke kun
have 1 wireless LAN som mange stadig gør. Mange Zyxell firewall
kommer med 2 Wireless LAN's (2 radioer) man kan opsætte. I dag skal
man min have 3 forskelllige Wireless LAN's -> Wi-Fi, guest
Wi-Fi, og et IoT network. Set evnt
NSA Releases Best Practices For Securing Your Home Network Så
bare kom igang her også, for det gælder også for store og små
virksomheder. Og bruger man Zyxell USGW så bør man hente sig et par
wireless bokse mere.
Automatisk firmware opdateringer
Alle Zyxel firewalls undersøtter, at man kan sætte den til automatisk
at opdaterer sin firmware. Brug det. Mange gør ikke og giver
konsulent huse penge for at patche. Det er ikke nødvendigt. Zyxel
firewall kan gøre det selv og det virker. Desuden får man jævnligt
rebooet sit udstyr som også er med til at beskytte imod mange former
for malware, der eks kun køre i memory. Set evnt
NSA Releases Best Practices For Securing Your Home Network
Download:
CSI_BEST_PRACTICES_FOR_SECURING_YOUR_HOME_NETWORK.PDF
Er Zyxel Zywall en dårlig firewall ?
Nej basalt set ikke. Men sørg for de her grundregler bare altid er
på plads. Zyxel er lige så gode som alle de andre til at få patchet
deres ting. Brugerne er det store problem og lidt dårlige defaulte
servicegrupper i Zyxel Zywall's. Dårligt admin arbejde kan generalt
gøre det bedste systeme til en dårlige ting.
IDS regler frigivet
Jeg har for første gang frigivet en bunke af 6 forskellige IDS
regler, der faktisk spotter hele kæden af events der er set derude
indtil nu. Det er omskrevet IDS regler fra åbne kilder, så det hele
bare passer ned i SNORT og virker.
Lige nu ser jeg faktisk scaninger efter sårbarheden på UDP port 500.
Det kører lystingt og kommer fra manage forskellige ip
adresser........Men ingen danske ip adresser ser jeg scanne.
PikaBot Malware
27 Maj 2023 - Blog Post # 853
PikaBOT malware
En ny trussel man skal begynde at være lidt vågen overfor
er
PikaBot. Det bliver brugt flittigt og man skal nok være en smule
vågen her. Jeg har analyceret 3 forskellige kampanger og har fundet
en fin metode til at identificere når PikaBot henter payloads som
eks Cobalt
Strike. Den benytter faktisk en teknik der gør det ret svært for
eks SNORT at validere det 100% sikkert via mere generiske teknikker.
Det er dog lykkedes, men denne gang må jeg tilstå at jeg ikke syntes
det er den bedste IDS regel jeg har lavet, men det er simpelt hen
fordi at prce ikke lige opfører sig som jeg kunne tænke mig i SNORT.
Her er Suricata faktisk langt bedre end SNORT (Sagde jeg lige
det)...SNORT 3 der er det ret nemt.
Man kan læse lidt mere om PikaBot her
IDS Rule Frigivet
Der kan være falske positiver. Dog er det en Flow_Bit rule, hvilket
typisk altid gør IDS rules langt mindre udsat for falske positiver.
Det er også den måde jeg altid selv foretrækker at skrive IDS regler
på.
Happy hunting...
NF IDS Rules
10 Latest Updates
Zyxel ZyWALL
PikaBot Trojan
Reverse Shell Without TTY
ELF executable download
MIPS extn file
MooBOT / Mirai
WPAD.DK
CCleaner Anti-Forensic
SL Remote tool
RedLine Stealer
Download