Firmware Zyxelu obsahuje skrytý backdoor!

Společnost Zyxel vydala opravu, která řeší kritickou zranitelnost firmwaru týkající se napevno zakódovaného nedokumentovaného tajného účtu, který by mohl útočník zneužít k přihlášení s oprávněními správce a ke kompromitaci svých síťových zařízení.

Chyba známá jako CVE-2020-29583 (CVSS skóre 7.8, ovlivňuje verzi 4.60 přítomnou v široké škále zařízení Zyxel, včetně produktů Unified Security Gateway (USG), USG FLEX, ATP a VPN firewall.
V kódu firmware se nachází tajný účet, který má nezměnitelné pevné heslo. Díky tomuto se lze na dálku připojit k zařízení pomocí SSH nebo WEB rozhraní a získat administrátorská práva. Protože uživatel „zyfwp“ má oprávnění správce, jedná se o vážnou chybu zabezpečení. Útočník by mohl zcela narušit důvěrnost, integritu a dostupnost zařízení.

Útočník může například změnit nastavení brány firewall tak, aby povolil nebo blokoval určitý provoz. Mohl by také zachytit provoz nebo vytvořit účty VPN, aby získal přístup k síti za zařízením. V kombinaci se zranitelností, jako je Zerologon, by to mohlo být pro malé a střední podniky konečná...

Chyba zabezpečení byla oznámena společnosti Zyxel 29. listopadu, poté společnost 18. prosince vydala opravu firmwaru (ZLD V4.60 Patch1). Důrazně doporučujeme nainstalovat nezbytné aktualizace firmwaru, aby se snížilo riziko spojené s touto již veřejně oznámenou chybou.

Další články z blogu

8. 11. 2023
Hacker Fest 2023

7. listopadu se konal již několikátý ročník skvělé akce GOPASu, na které bylo velmi zajímavé obsazení přednášejících i témat, které...

Přečíst
20. 9. 2023
Náš etický hacker přednášel na konferenci Kybernetická bezpečnost 2023

13. září se v prostorách budovy NWT ve Zlíně konala odborná konference Kybernetická bezpečnost - řízení procesů a aplikace moderních...

Přečíst
11. 9. 2023
 Chráníte vaše firemní mobilní zařízení? Buďte o krok napřed s GravityZone Security for Mobile

 E-maily jsou nejčastějším cílem phishingových útoků. Více než 60 % e-mailů je otevřeno na mobilních zařízeních. V mžiku můžete přijít...

Přečíst
(c) 2023 ICT NWT s.r.o.
menu-circlecross-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram