Une porte dérobée délicate découverte dans les pare-feux Zyxel
Selon une information de l'entreprise de sécurité néerlandaise Eye, Zyxel Networks a laissé un compte admin ouvert sur certains pare-feux et points d'accès. Au moins, Zyxel a réagi rapidement.
Selon une dépêche de bleepingcomputer.com plus de 100'000 pare-feux et contrôleurs de points d'accès Zyxel cachent une faille de sécurité qui permet d'accéder au compte administrateur depuis l'extérieur. L'entreprise de sécurité néerlandaise Eye a découvert cette porte de grange dans le dernier firmware 4.60 de certains appareils Zyxel. Selon toute vraisemblance, un accès fixe préprogrammé a été laissé dans un fichier patch.
Le compte d'accès avec nom d'utilisateur zwyfp et mot de passe fixe permet d'entretenir le logiciel des appareils. Les identifiants ne sont pas visibles dans la gestion des utilisateurs et le mot de passe ne peut pas non plus être modifié. Niels Teusik mais l'accès est possible aussi bien via SSH que via l'interface web. L'accès peut donc quand même être utilisé, d'autant plus que les connexions VPN SSL passent par le même port que l'interface web et que de nombreux utilisateurs laissent le port 443 ouvert.
Faille de sécurité majoritairement comblée
L'entreprise de sécurité Eye aurait déjà été en mesure de repérer 3000 appareils Zyxel vulnérables aux Pays-Bas. La faille de sécurité a été découverte fin novembre. Depuis, Zyxel a retiré la version du firmware ZLD V4.60 et l'a remplacée par un patch. Les appareils Zyxel de la série USG, ATP, VPN, ZyWALL ou USG FLEX sont concernés.
La faille de sécurité n'est pas sans danger et a probablement été "négligée". Toujours est-il qu'il n'a fallu que quelques jours pour mettre à disposition les mises à jour de sécurité. Après environ une semaine depuis l'annonce de la faille, Zyxel a déjà mis à disposition une première mise à jour de sécurité. Selon Eye, le deuxième patch a ensuite été mis à disposition dès le 15 décembre 2020 pour la plupart des appareils et un autre le 18 décembre pour tous les autres contrôleurs de points d'accès et pare-feux concernés.
Les contrôleurs de point d'accès WLAN (par exemple les modèles NXC2500 et NXC5500) sont également concernés et Zyxel ne prévoit pas de patch avant le mois d'avril.
Source : Eye/Heise