Account backdoor segreto trovato in diversi firewall Zyxel

Zyxel ha rilasciato una patch per risolvere una vulnerabilità critica nel suo firmware riguardante un account segreto hardcoded non documentato che potrebbe essere utilizzato da un aggressore per accedere, con privilegi amministrativi, e compromettere i dispositivi di rete. La falla, tracciata come CVE-2020-29583 (punteggio CVSS 7.8), interessa la versione 4.60 presente in un’ampia gamma di dispositivi Zyxel tra cui:

• la serie Advanced Threat Protection (ATP), utilizzata principalmente come firewall;
• la serie Unified Security Gateway (USG), utilizzata come firewall ibrido e gateway VPN;
• la serie USG FLEX, utilizzata come firewall ibrido e gateway VPN;
• la serie VPN, utilizzata come gateway VPN
• la serie NXC, utilizzata come controller del punto di accesso WLAN.

Il ricercatore della sicurezza della software house olandese EYE Niels Teusink ha segnalato la vulnerabilità a Zyxel il 29 novembre, in seguito alla quale la società ha rilasciato una patch del firmware (ZLD V4.60 Patch1) il 18 dicembre.

Firewall Zyxel  con account e password visibili

Secondo l’avviso pubblicato da Zyxel, l’account non documentato (“zyfwp”) viene fornito con una password (“PrOw! AN_fXp”) non modificabile che non solo è memorizzata come testo in chiaro, ma potrebbe anche essere utilizzata da terze parti per accedere al server SSH o all’interfaccia web con privilegi di amministratore.

Zyxel ha affermato che le credenziali hardcoded incriminate sono state create per fornire aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP.

“Poiché l’utente ‘ zyfwp ‘ dispone dei privilegi di amministratore, questa è una grave vulnerabilità”, ha affermato Teusink in un articolo. “Un utente malintenzionato potrebbe compromettere completamente la riservatezza, l’integrità e la disponibilità del dispositivo. Qualcuno potrebbe ad esempio modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbe anche intercettare il traffico o creare account VPN per ottenere l’accesso alla rete attraverso il dispositivo. Combinato con una vulnerabilità come Zerologon, questo potrebbe essere devastante per le piccole e medie imprese”.

LEGGI ANCHE: Forcepoint, ecco i trend del 2021 nel campo della cybersecurity

La società taiwanese dovrebbe anche affrontare il problema nei suoi controller del punto di accesso (AP) con una patch V6.10 che verrà rilasciata l’8 gennaio 2021.

Zyxel consiglia vivamente agli utenti di installare gli aggiornamenti firmware necessari per mitigare il rischio associato al difetto.

Linksys Lrt224-Eu Router Vpn Dual Wan Cablato Gigabit per Aziende, Firewall Integrato, Vlan 802.1Q, Easylink Vpn, Installazione Facile, nero/antracite

• Porte Gigabit Ethernet
• Fino a 50 tunnel IPsec (per VPN da sito a sito e da client a sito) e cinque tunnel OpenVPN per utenti iOS e Android
• Firewall a 900 MBps e 110 MBps di velocità IPsec
• Numerose funzionalità per soddisfare i requisiti di un'ampia gamma di reti aziendali
• Supporta il bilanciamento del carico e il failover WAN, per una connettività Internet altamente affidabile

Acquista su Amazon

Router VPN Cisco RV340 con 4 porte Gigabit Ethernet (GbE) più Dual WAN, protezione limitata a vita (RV340-K9-G5)

• NUMERO DI PORTE: lo switch Gigabit Ethernet a 4 porte integrato consente di connettere i dispositivi cablati, come computer, stampanti o dispositivi di archiviazione
• CONNETTIVITÀ: ricetrasmettitore SFP 1000BASE-LH per fibra a modalità singola, 1310 nm di lunghezza d'onda, supporta fino a 40 km
• SICUREZZA: supporta diversi protocolli VPN, tra cui IPsec/L2TP, che consente agli utenti di stabilire la VPN in modo più flessibile
• CONNETTIVITÀ: supporta il Cisco AnyConnect Secure Mobility Client, ideale per l'accesso remoto da parte dei dispositivi mobili
• TRANQUILLITÀ: garanzia di 5 anni e supporto tecnico di un anno

Acquista su Amazon