Firmware Zyxelu obsahuje skrytý backdoor!

Společnost Zyxel vydala opravu, která řeší kritickou zranitelnost firmwaru týkající se napevno zakódovaného nedokumentovaného tajného účtu, který by mohl útočník zneužít k přihlášení s oprávněními správce a ke kompromitaci svých síťových zařízení.

Chyba známá jako CVE-2020-29583 (CVSS skóre 7.8, ovlivňuje verzi 4.60 přítomnou v široké škále zařízení Zyxel, včetně produktů Unified Security Gateway (USG), USG FLEX, ATP a VPN firewall.
V kódu firmware se nachází tajný účet, který má nezměnitelné pevné heslo. Díky tomuto se lze na dálku připojit k zařízení pomocí SSH nebo WEB rozhraní a získat administrátorská práva. Protože uživatel „zyfwp“ má oprávnění správce, jedná se o vážnou chybu zabezpečení. Útočník by mohl zcela narušit důvěrnost, integritu a dostupnost zařízení.

Útočník může například změnit nastavení brány firewall tak, aby povolil nebo blokoval určitý provoz. Mohl by také zachytit provoz nebo vytvořit účty VPN, aby získal přístup k síti za zařízením. V kombinaci se zranitelností, jako je Zerologon, by to mohlo být pro malé a střední podniky konečná...

Chyba zabezpečení byla oznámena společnosti Zyxel 29. listopadu, poté společnost 18. prosince vydala opravu firmwaru (ZLD V4.60 Patch1). Důrazně doporučujeme nainstalovat nezbytné aktualizace firmwaru, aby se snížilo riziko spojené s touto již veřejně oznámenou chybou.

Další články z blogu

7. 1. 2022
Do šestice všeho dobrého – nový certifikát Manažer Kybernetické bezpečnosti „on board“

Ing. Filip LangVedoucí oddělení Implementace a realizace Tentokrát bych vám rád blíže představil 1. z mých 6 prosincových úlovků – certifikaci...

Přečíst
4. 1. 2022
Do nového roku vstupujeme s 5 novými certifikáty!

autor: Ing. Filip Lang, Vedoucí oddělení Implementace a realizace Letošní mezisvátkové období pro mě bylo opravdu šťastné a veselé!  Jen...

Přečíst
16. 12. 2021
Varování: Zranitelnost v Log4j je v České republice kritická! Neprodlená aktualizace je nezbytností

V minulých dnech se objevila nová a velmi závažná zranitelnost, trhlina v bezpečnosti postihující velké množství systémů. Jedna z největších hrozeb, s jakou...

Přečíst
(c) 2021 NWT a.s.
Website by NWT Marketing
menu-circlecross-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram