Тайваньская компания Zyxel выпустила обновление, исправляющее критическую ошибку в своих устройствах сетевого хранилища (NAS) — её могли использовать для удалённого доступа и управления ими. Обновление вышло через 12 дней после того, как американский журналист Брайан Кребс предупредил компанию, что киберпреступники продают инструкции по использованию уязвимости за $20 000.
Издание KrebsOnSecurity узнало об уязвимости 12 февраля от компании Hold Security. Её глава, Алекс Холден, рассказал, что получил копию кода эксплойта, позволяющего получить незаконный доступ к сетевым хранилищам Zyxel. По его словам, код ему продал киберпреступник с никнеймом 500mhz, как раз специализирующийся на 0day-уязвимостях. Эта и предыдущие инструкции, предоставленные хакером, сопровождались исчерпывающей документацией, которая подробно описывала все подробности уязвимости. В них содержались описания инструментов, необходимых для неправомерного использования ошибки, пошаговые инструкции по взлому, советы по сокрытию следов взлома и примеры поисковых запросов, которые могли бы вывести злоумышленников на тысячи устройств, обладающих уязвимостью.
Журналисты обнаружили профиль 500mhz на одном из русскоязычных хакерских форумов. В нём говорится, что злоумышленник регулярно покупает и продаёт различные 0day/Nday-уязвимости.
Издание Кребса рассказало Zyxel об ошибке в тот же день, когда получили сведения о ней, 12 февраля. Сначала компания никак не отреагировала на отправленное ей письмо, поэтому спустя четыре дня KrebsOnSecurity известило о ней Министерство внутренней безопасности США и Координационный центр CERT, после чего на следующие сутки Zyxel наконец ответила изданию и поблагодарила за предупреждение.
По заявлению компании, уязвимость распространяется на 14 моделей сетевых накопителей Zyxel:
NAS542, NAS540, NAS520, NAS326, NSA325 v2, NSA325, NSA320S, NSA320, NSA310S, NSA310, NSA221, NSA220 +, NSA220 и NSA210.
К сожалению, не доступен сервер mySQL