Networkforensic

Threat hunting

Zyxel sårbarheder og exploit

 29 Maj 2023  - Blog Post # 853

Zyxel CVE-2023-28771
Hen over den sidste uges tid er Zyxel sårbarheder blevet udnyttet meget hårdt. Mange er på denne konto røget grundet upatchet firmware, på for åbne systemer der ikke er opsat efter best pratice, (Kommer jeg lige tilbage til) som i virkeligheden er en default "fejl" konfiguration i servicegrupper, som Zyxel faktisk laver. POC er allerede frigivet

Er man ikke patchet (firmware opdateret) allerede nu, eller bruger sikre opsætninger, så har man helt sikkert allerede en hacket firewall.



CVE numre: Man skal bruge V4.73(AAKZ.2)C0 - 2023/05/24
CVE-2023-33009
CVE-2023-33010

V4.73(AAKZ.1)C0 - 2023/04/17
CVE-2022-38547
CVE-2023-22913
CVE-2023-22914
CVE-2023-22915
CVE-2023-22918
CVE-2023-27990
CVE-2023-27991
CVE-2023-28771

Stor kritik herfra til Zyxel
Ved ikke hvorfor Zyxel syntes det er en god ide, at alle deres firewalls altid kommer med default adgang til Web-interfacet på outside WAN siden (Hele verden). Her er der også ting som ike, gre og et par andre ting og det er defalut adgang til for hele verden. Det ligger som standard i deres servicegrupper hvor man skal ind og fjerne det. Her burde det være noget der skulle tilvælges og ikke fravælges. Troede efterhånden at ingen gjorde det her mere. MEN det har betydet at Zyxel rent faktisk selv har gjort så RIGTIG mange af deres kunder er blevet hacket.

Generalle anbefalinger.
Noget jeg altid har været modstander af er TLS/VPN adgange, såfremt det giver angang til et web-interface hvor brugerne skal logge ind. Netop i Zyxel er det tilfældet. Her bør man kun bruge VPN klienter og ikke have noget stående åbent med mindre det er opsat i "point to point" til noget man virkelig stoler på. Man kan også bruge L2TP over IPSec, med certifikater på. Så behøver man ikke VPN klienter men kan bruge Iphone, Windows osv.

Mange har også den opfattelse af at disse adgange altid skal stå åben for hele verden. Vil man have det her så, opsæt VPN adgange så det kun bliver eks DK ip adresser der kan logge ind, eller det bedste er altid "point to point"

I mine øjne er det simpelthen dårligt admin adrbejde af værste skuffe, når det er åbent til hele verden og især web-interface til en firewall som står åbent. Få dem fjernet....... DET SKAL IKKE STÅ ÅBENT.

En anden general ting jeg tit støder på, er åbne adgang til eks firewalls fra alle lokale ip adresser på LAN siden. Det er heller ikke noget der skal være åbent. Her skal man lave IP firewall regler der kun tillader adgang fra bestemte admin IP adresser. Alle fra alle LAN's skal ikke have adgang, det vil kun gå galt.

En sidste ting er Wireless. Man skal idag ikke kun have 1 wireless LAN som mange stadig gør. Mange Zyxell firewall kommer med 2 Wireless LAN's (2 radioer) man kan opsætte. I dag skal man min have 3 forskelllige Wireless LAN's  -> Wi-Fi, guest Wi-Fi, og et IoT network. Set evnt NSA Releases Best Practices For Securing Your Home Network Så bare kom igang her også, for det gælder også for store og små virksomheder. Og bruger man Zyxell USGW så bør man hente sig et par wireless bokse mere.

Automatisk firmware opdateringer
Alle Zyxel firewalls undersøtter, at man kan sætte den til automatisk at opdaterer sin firmware. Brug det. Mange gør ikke og giver konsulent huse penge for at patche. Det er ikke nødvendigt. Zyxel firewall kan gøre det selv og det virker. Desuden får man jævnligt rebooet sit udstyr som også er med til at beskytte imod mange former for malware, der eks kun køre i memory. Set evnt NSA Releases Best Practices For Securing Your Home Network

Download:
CSI_BEST_PRACTICES_FOR_SECURING_YOUR_HOME_NETWORK.PDF

Er Zyxel Zywall en dårlig firewall ?
Nej basalt set ikke. Men sørg for de her grundregler bare altid er på plads. Zyxel er lige så gode som alle de andre til at få patchet deres ting. Brugerne er det store problem og lidt dårlige defaulte servicegrupper i Zyxel Zywall's. Dårligt admin arbejde kan generalt gøre det bedste systeme til en dårlige ting.

IDS regler frigivet
Jeg har for første gang frigivet en bunke af 6 forskellige IDS regler, der faktisk spotter hele kæden af events der er set derude indtil nu. Det er omskrevet IDS regler fra åbne kilder, så det hele bare passer ned i SNORT og virker.

Lige nu ser jeg faktisk scaninger efter sårbarheden på UDP port 500. Det kører lystingt og kommer fra manage forskellige ip adresser........Men ingen danske ip adresser ser jeg scanne.



 

PikaBot Malware

 27 Maj 2023  - Blog Post # 853

PikaBOT malware
En ny trussel man skal begynde at være lidt vågen overfor er PikaBot. Det bliver brugt flittigt og man skal nok være en smule vågen her. Jeg har analyceret 3 forskellige kampanger og har fundet en fin metode til at identificere når PikaBot henter payloads som eks Cobalt Strike. Den benytter faktisk en teknik der gør det ret svært for eks SNORT at validere det 100% sikkert via mere generiske teknikker. Det er dog lykkedes, men denne gang må jeg tilstå at jeg ikke syntes det er den bedste IDS regel jeg har lavet, men det er simpelt hen fordi at prce ikke lige opfører sig som jeg kunne tænke mig i SNORT. Her er Suricata faktisk langt bedre end SNORT (Sagde jeg lige det)...SNORT 3 der er det ret nemt.



Man kan læse lidt mere om PikaBot her

IDS Rule Frigivet
Der kan være falske positiver. Dog er det en Flow_Bit rule, hvilket typisk altid gør IDS rules langt mindre udsat for falske positiver. Det er også den måde jeg altid selv foretrækker at skrive IDS regler på.

Happy hunting...
 

 NF IDS Rules
10 Latest Updates

Zyxel ZyWALL

PikaBot Trojan

Reverse Shell Without TTY

ELF executable download

MIPS extn file

MooBOT / Mirai

WPAD.DK

CCleaner Anti-Forensic

SL Remote tool

RedLine Stealer

Download