Il ya quelques jourss la détection d'une vulnérabilité a été révélée sécurité sérieuse dans les pare-feu, passerelles de réseau privé virtuel et les contrôleurs de points d'accès fabriqués par Zyxel Communications Corp.
Il est détaillé que le mois dernier, chercheurs en sécurité de la société néerlandaise de cybersécurité Eye Control a documenté le cas et ils mentionnent que la vulnérabilité affecte plus de 100.000 XNUMX appareils fabriqués par l'entreprise.
Vulnérabilité implique que les périphériques ont une porte dérobée au niveau administratif codée en dur qui peut accorder aux attaquants un accès root aux appareils avec SSH ou un panneau d'administration Web.
Compte tenu du nom d'utilisateur et du mot de passe cryptés, les pirates peuvent accéder aux réseaux à l'aide d'appareils Zyxel.
«Quelqu'un pourrait, par exemple, modifier les paramètres du pare-feu pour autoriser ou bloquer certains trafics», déclare Niels Teusink, chercheur en Eye Control. "Ils pourraient également intercepter le trafic ou créer des comptes VPN pour accéder au réseau derrière l'appareil."
La vulnérabilité est dans les appareils de la série ATP, USG, USG Flex, VPN et NXC de Zyxel.
Bien que n'étant pas un nom familier, Zyxel est une entreprise basée à Taïwan qui fabrique des périphériques réseau utilisés principalement par les petites et moyennes entreprises.
En fait, la société dispose d'une liste étonnamment remarquable de nouvelles fonctionnalités: elle a été la première entreprise au monde à concevoir un modem RNIS analogique / numérique, le premier avec une passerelle ADSL2 + et le premier à proposer un pare-feu personnel portable de la taille du paume de la main, entre autres réalisations.
Toutefois, ce n'est pas la première fois que des vulnérabilités sont détectées sur les appareils Zyxel. Une étude réalisée en juillet par l'Institut Fraunhofer pour la communication a désigné Zyxel avec AsusTek Computer Inc., Netgear Inc., D-Link Corp., Linksys, TP-Link Technologies Co.Ltd. Et AVM Computersysteme Vertriebs GmbH comme ayant un rang de sécurité problèmes.
Selon les représentants de la société Zyxel, la porte dérobée n'était pas la conséquence d'une activité malveillante d'attaquants tiers, par exemplero était une fonction régulière utilisée pour télécharger automatiquement les mises à jour firmware via FTP.
Il est à noter que le mot de passe prédéfini n'a pas été chiffré et les chercheurs en sécurité de Eye Control l'ont remarqué en examinant les extraits de texte trouvés dans l'image du micrologiciel.
Dans la base d'utilisateurs, le mot de passe a été stocké sous forme de hachage et le compte supplémentaire a été exclu de la liste des utilisateurs, mais l'un des fichiers exécutables contenait le mot de passe en texte clair. Zyxel a été informé du problème fin novembre et l'a partiellement corrigé.
Les pare-feu ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX et VPN de Zyxel, ainsi que les contrôleurs de point d'accès NXC2500 et NXC5500 sont concernés.
Zyxel a corrigé la vulnérabilité, officiellement nommé CVE-2020-29583, dans un avis et a publié un correctif pour résoudre le problème. Dans l'avis, la société a noté que le compte d'utilisateur chiffré «zyfwp» était conçu pour fournir des mises à jour automatiques du micrologiciel aux points d'accès connectés via FTP.
Problème de pare-feu résolu dans la mise à jour du micrologiciel V4.60 Patch1 (On prétend que le mot de passe par défaut n'apparaissait que dans le micrologiciel V4.60 Patch0, et les anciennes versions de micrologiciel ne sont pas affectées par le problème, mais il existe d'autres vulnérabilités dans les micrologiciels plus anciens à travers lesquels les appareils peuvent être attaqués ).
Dans les hotspots, Le correctif sera inclus dans la mise à jour V6.10 Patch1 prévue pour avril 2021. Il est conseillé à tous les utilisateurs d'appareils posant problème de mettre immédiatement à jour le micrologiciel ou de fermer l'accès aux ports réseau au niveau du pare-feu.
Le problème est aggravé par le fait que le service VPN et l'interface Web de gestion de l'appareil acceptent par défaut les connexions sur le même port réseau 443, c'est pourquoi de nombreux utilisateurs ont laissé 443 ouverts aux demandes externes et donc en plus du point de terminaison VPN, ils sont partis et la possibilité de se connecter à l'interface Web.
Selon des estimations préliminaires, plus de 100 XNUMX appareils contenant la porte dérobée identifiée ils sont disponibles sur le réseau pour se connecter via le port réseau 443.
Il est conseillé aux utilisateurs d'appareils Zyxel concernés d'installer les mises à jour de firmware appropriées pour une protection optimale.
source: https://www.eyecontrol.nl