Scoperta una backdoor insidiosa nei firewall Zyxel
Secondo un rapporto della società di sicurezza olandese Eye, Zyxel Networks ha lasciato un account amministratore aperto su alcuni firewall e punti di accesso. Almeno Zyxel ha reagito rapidamente.
Secondo un rapporto di bleepingcomputer.com oltre 100.000 firewall e controller di punti di accesso Zyxel contengono una vulnerabilità di sicurezza che consente l'accesso all'account di amministrazione dall'esterno. La società di sicurezza olandese Eye ha scoperto la porta di servizio nell'ultimo firmware 4.60 di alcuni dispositivi Zyxel. A quanto pare, un accesso fisso pre-programmato è stato lasciato in un file di patch.
Il software dei dispositivi può essere gestito tramite l'account di accesso con il nome utente zwyfp e una password fissa. Le credenziali non sono visibili nell'amministrazione degli utenti, né è possibile modificare la password tramite l'account; secondo il consulente di sicurezza, ciò non è possibile. Niels Teusik ma l'accesso è possibile sia tramite SSH che tramite l'interfaccia web. Pertanto, l'accesso può ancora essere utilizzato, soprattutto perché anche le connessioni VPN SSL vengono eseguite tramite la stessa porta dell'interfaccia web e molti utenti tengono aperta la porta 443.
Lacuna di sicurezza in gran parte colmata
La società di sicurezza Eye era già riuscita a identificare 3000 dispositivi Zyxel vulnerabili nei Paesi Bassi. La vulnerabilità è stata scoperta alla fine di novembre. Zyxel ha ritirato la versione del firmware ZLD V4.60 e l'ha sostituita con una patch. Sono interessati i dispositivi Zyxel delle serie USG, ATP, VPN, ZyWALL o USG FLEX.
La vulnerabilità di sicurezza non è del tutto innocua e probabilmente è stata "trascurata". Dopo tutto, sono bastati pochi giorni per rendere disponibili gli aggiornamenti di sicurezza. Già dopo circa una settimana dalla conoscenza della vulnerabilità, Zyxel ha fornito un primo aggiornamento di sicurezza. Secondo Eye, la seconda patch è stata resa disponibile il 15 dicembre 2020 per la maggior parte dei dispositivi e il 18 dicembre per tutti gli altri controller di access point e firewall interessati.
Tuttavia, sono interessati anche i controller dei punti di accesso WLAN (ad esempio, i modelli NXC2500 e NXC5500), per i quali si prevede una patch da parte di Zyxel solo verso aprile.
Fonte: Eye/Heise
