Firmware Zyxelu obsahuje skrytý backdoor!

Společnost Zyxel vydala opravu, která řeší kritickou zranitelnost firmwaru týkající se napevno zakódovaného nedokumentovaného tajného účtu, který by mohl útočník zneužít k přihlášení s oprávněními správce a ke kompromitaci svých síťových zařízení.

Chyba známá jako CVE-2020-29583 (CVSS skóre 7.8, ovlivňuje verzi 4.60 přítomnou v široké škále zařízení Zyxel, včetně produktů Unified Security Gateway (USG), USG FLEX, ATP a VPN firewall.
V kódu firmware se nachází tajný účet, který má nezměnitelné pevné heslo. Díky tomuto se lze na dálku připojit k zařízení pomocí SSH nebo WEB rozhraní a získat administrátorská práva. Protože uživatel „zyfwp“ má oprávnění správce, jedná se o vážnou chybu zabezpečení. Útočník by mohl zcela narušit důvěrnost, integritu a dostupnost zařízení.

Útočník může například změnit nastavení brány firewall tak, aby povolil nebo blokoval určitý provoz. Mohl by také zachytit provoz nebo vytvořit účty VPN, aby získal přístup k síti za zařízením. V kombinaci se zranitelností, jako je Zerologon, by to mohlo být pro malé a střední podniky konečná...

Chyba zabezpečení byla oznámena společnosti Zyxel 29. listopadu, poté společnost 18. prosince vydala opravu firmwaru (ZLD V4.60 Patch1). Důrazně doporučujeme nainstalovat nezbytné aktualizace firmwaru, aby se snížilo riziko spojené s touto již veřejně oznámenou chybou.

Další články z blogu

23. 8. 2021
S citlivými daty se obchoduje na „aukru“ pro kriminálníky

Kyberbezpečnostní úřad zkoumá další znepokojující kauzu. Ano, hádáte správně, v hlavní roli jsou opět hackeři. Aktuálně se chlubí ukradenými interními daty společnosti Gordic. Na...

Přečíst
12. 8. 2021
NSA vydává návod, jak lépe zabezpečit bezdrátová zařízení

Přestože rady a osvědčené postupy NSA pro zabezpečení bezdrátových zařízení nejsou zárukou ochrany, budou snižovat rizika, kterým můžete čelit. Nejviditelnější...

Přečíst
19. 7. 2021
TIP měsíce pro SMB

Řešení pro archivaci dat z Vaší Synology NAS! V poslední době si společnosti všech velikostí začínají více a více uvědomovat, že je...

Přečíst
(c) 2021 NWT a.s.
Website by NWT Marketing
menu-circlecross-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram