Pare-feu Zyxel, compte VPN Backdoor

Zyxel a publié un correctif pour résoudre une vulnérabilité critique dans son micrologiciel concernant un compte secret non documenté codé en dur qui pourrait être utilisé de manière abusive par un attaquant pour se connecter avec des privilèges administratifs et compromettre ses périphériques réseau.

La faille, suivie comme CVE-2020-29583 (Score CVSS 7,8), affecte version 4.60 présent dans une large gamme de périphériques Zyxel, y compris les produits de pare-feu Unified Security Gateway (USG), USG FLEX, ATP et VPN.

Chercheur EYE Niels Teusink a signalé la vulnérabilité à Zyxel le 29 novembre, après quoi la société a publié un correctif de micrologiciel (ZLD V4.60 Patch1) le 18 décembre.

Selon le consultatif publié par Zyxel, le compte non documenté (“zyfwp”) est livré avec un mot de passe inchangeable (“PrOw! AN_fXp“) qui n’est pas seulement stocké en texte brut, mais pourrait également être utilisé par un tiers malveillant pour se connecter au serveur SSH ou à l’interface Web avec des privilèges d’administrateur.

Zyxel a déclaré que les informations d’identification codées en dur ont été mises en place pour fournir des mises à jour automatiques du micrologiciel aux points d’accès connectés via FTP.

Notant qu’environ 10% des 1000 appareils aux Pays-Bas exécutent la version de micrologiciel concernée, Teusink a déclaré que la relative facilité d’exploitation de la faille en faisait une vulnérabilité critique.

“Comme le ‘zyfwp“L’utilisateur a des privilèges d’administrateur, c’est une vulnérabilité sérieuse”, a déclaré Teusink dans un article. “Un attaquant pourrait compromettre complètement la confidentialité, l’intégrité et la disponibilité de l’appareil.”

“Quelqu’un pourrait par exemple modifier les paramètres du pare-feu pour autoriser ou bloquer certains trafics. Ils pourraient également intercepter le trafic ou créer des comptes VPN pour accéder au réseau derrière l’appareil. Combiné à une vulnérabilité comme Zerologon, cela pourrait être dévastateur pour les petites et moyennes entreprises. “

La société taïwanaise devrait également résoudre le problème dans ses contrôleurs de point d’accès (AP) avec un V6.10 Patch1 qui devrait être publié en avril 2021.

Il est fortement recommandé aux utilisateurs d’installer les mises à jour de micrologiciel nécessaires pour atténuer le risque associé à la faille.



Leave a Reply