Conta secreta de backdoor encontrada em vários produtos de firewall Zyxel e VPN
A Zyxel lançou um patch para resolver uma vulnerabilidade crítica em seu firmware relativa a uma conta secreta não documentada e codificada que pode ser usada por um invasor para fazer o login com privilégios administrativos e comprometer seus dispositivos de rede.
A falha, rastreada como CVE-2020-29583 (CVSS pontuação 7.8), afeta a versão 4.60 presente em uma ampla gama de dispositivos Zyxel, incluindo Unified Security Gateway (USG), USG FLEX, ATP e produtos de firewall VPN.
O pesquisador da EYE, Niels Teusink, relatou a vulnerabilidade do Zyxel em 29 de novembro, após o que a empresa lançou um patch de firmware (ZLD V4.60 Patch1) em 18 de dezembro.
De acordo com o comunicado publicado pela Zyxel, a conta não documentada (“zyfwp”) vem com uma senha imutável (” PrOw! AN_fXp “) que não só é armazenada em texto simples, mas também pode ser usada por um terceiro malicioso para fazer login no SSH servidor ou interface da web com privilégios de administrador.
Zyxel disse que as credenciais codificadas foram implementadas para fornecer atualizações automáticas de firmware para pontos de acesso conectados por meio de FTP.
Observando que cerca de 10% de 1000 dispositivos na Holanda rodam a versão de firmware afetada, Teusink disse que a relativa facilidade de exploração da falha a torna uma vulnerabilidade crítica.
“Como o usuário ‘ zyfwp ‘ tem privilégios de administrador, essa é uma vulnerabilidade séria”, disse Teusink em um artigo. “Um invasor pode comprometer completamente a confidencialidade, integridade e disponibilidade do dispositivo.”
“Alguém pode, por exemplo, alterar as configurações do firewall para permitir ou bloquear determinado tráfego. Eles também podem interceptar o tráfego ou criar contas VPN para obter acesso à rede por trás do dispositivo. Combinado com uma vulnerabilidade como Zerologon, isso pode ser devastador para pequenas e médias empresas. ”
A empresa taiwanesa também deve resolver o problema em seus controladores de ponto de acesso (AP) com um Patch1 V6.10 que será lançado em abril de 2021.
É altamente recomendável que os usuários instalem as atualizações de firmware necessárias para mitigar o risco associado à falha.
zyxel
Fonte: THN
