Backdoor secret găsit în mai multe produse Zyxel Firewall, VPN

Update: Citiți aici modul în care echipa Zyxel Neworks Corp. a rezolvat această situație.

Zyxel a lansat un patch pentru a rezolva o vulnerabilitate critică în firmware-ul său, referitor la un cont secret hardcodat, nedocumentat, care ar putea fi abuzat de un atacator pentru a se conecta cu privilegii administrative și a compromite dispozitivele sale de rețea.

Defectul, urmărit ca CVE-2020-29583 (scor CVSS 7.8), afectează versiunea 4.60 prezentă într-o gamă largă de dispozitive Zyxel, inclusiv Unified Security Gateway (USG), USG FLEX, ATP și produse firewall VPN.

Cercetătorul EYE Niels Teusink a raportat vulnerabilitatea către Zyxel pe 29 noiembrie, în urma căreia compania a lansat un patch firmware (ZLD V4.60 Patch1) pe 18 decembrie.

Conform avizului publicat de Zyxel, contul nedocumentat („zyfwp”) vine cu o parolă neschimbabilă („PrOw! AN_fXp”) care nu numai că este stocată doar în text simplu, dar ar putea fi folosită și de o terță parte rău intenționată pentru a se conecta la serverul SSH sau interfață web cu privilegii de administrator.

Zyxel a spus că credențialele hardcodate au fost puse în aplicare pentru a furniza actualizări automate de firmware către punctele de acces conectate prin FTP.

Observând că aproximativ 10% din 1000 de dispozitive din Olanda rulează versiunea de firmware afectată, Teusink a spus că ușurința relativă de exploatare a defectului îl face o vulnerabilitate critică.

„Întrucât utilizatorul „zyfwp” are privilegii de administrator, aceasta este o vulnerabilitate gravă”, a spus Teusink într-un articol. „Un atacator ar putea compromite complet confidențialitatea, integritatea și disponibilitatea dispozitivului.”

„Cineva ar putea, de exemplu, schimba setările firewall-ului pentru a permite sau bloca anumite traficuri. De asemenea, ar putea intercepta traficul sau crea conturi VPN pentru a avea acces la rețeaua din spatele dispozitivului. Combinat cu o vulnerabilitate precum Zerologon, acest lucru ar putea fi devastator pentru întreprinderile mici și mijlocii.”Compania taiwaneză este de așteptat să abordeze problema și în controlerele sale de access point (AP) cu un Patch1 V6.10 care urmează să fie lansat în aprilie 2021.

Este foarte recomandat ca utilizatorii să instaleze actualizările de firmware necesare pentru a atenua riscul asociat defectului.

Sursa: TheHackerNews

Related

Related Posts

Zyxel – 3 motive cheie pentru care IMM-urile au nevoie de inteligență artificială în administrarea rețelelor

Review – Zyxel SCR 50AXE

Review Zyxel NWA55AXE – un punct de acces de exterior cu funcții avansate