Pare-Feu Zyxel, Compte Vpn Backdoor

Zyxel a publié un correctif pour résoudre une vulnérabilité critique dans son micrologiciel concernant un compte secret non documenté codé en dur qui pourrait être utilisé de manière abusive par un attaquant pour se connecter avec des privilèges administratifs et compromettre ses périphériques réseau.

La faille, suivie comme CVE-2020-29583 (Score CVSS 7,8), affecte version 4.60 présent dans une large gamme de périphériques Zyxel, y compris les produits de pare-feu Unified Security Gateway (USG), USG FLEX, ATP et VPN.

Chercheur EYE Niels Teusink a signalé la vulnérabilité à Zyxel le 29 novembre, après quoi la société a publié un correctif de micrologiciel (ZLD V4.60 Patch1) le 18 décembre.

Selon le consultatif publié par Zyxel, le compte non documenté (« zyfwp ») est livré avec un mot de passe inchangeable (« PrOw! AN_fXp« ) qui n’est pas seulement stocké en texte brut, mais pourrait également être utilisé par un tiers malveillant pour se connecter au serveur SSH ou à l’interface Web avec des privilèges d’administrateur.

Zyxel a déclaré que les informations d’identification codées en dur ont été mises en place pour fournir des mises à jour automatiques du micrologiciel aux points d’accès connectés via FTP.

Publicité

Notant qu’environ 10% des 1000 appareils aux Pays-Bas exécutent la version de micrologiciel concernée, Teusink a déclaré que la relative facilité d’exploitation de la faille en faisait une vulnérabilité critique.

« Comme le ‘zyfwp« L’utilisateur a des privilèges d’administrateur, c’est une vulnérabilité sérieuse », a déclaré Teusink dans un article. « Un attaquant pourrait compromettre complètement la confidentialité, l’intégrité et la disponibilité de l’appareil. »

« Quelqu’un pourrait par exemple modifier les paramètres du pare-feu pour autoriser ou bloquer certains trafics. Ils pourraient également intercepter le trafic ou créer des comptes VPN pour accéder au réseau derrière l’appareil. Combiné à une vulnérabilité comme Zerologon, cela pourrait être dévastateur pour les petites et moyennes entreprises. « 

Patch

La société taïwanaise devrait également résoudre le problème dans ses contrôleurs de point d’accès (AP) avec un V6.10 Patch1 qui devrait être publié en avril 2021.

Il est fortement recommandé aux utilisateurs d’installer les mises à jour de micrologiciel nécessaires pour atténuer le risque associé à la faille.


Rate this post
Publicité
Article précédent7 façons dont la spiritualité peut répondre à l’anxiété pendant cette pandémie – Indonésie Expat
Article suivantGPFans Formula 1 Awards 2020
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici