Qu’est-ce qui vient juste de se passer? Les chercheurs du spécialiste de la cybersécurité Eye ont récemment découvert une porte dérobée secrète introduite dans une récente mise à jour du micrologiciel pour divers pare-feu et contrôleurs AP Zyxel. La vulnérabilité des informations d’identification codées en dur consiste en un compte d’utilisateur non documenté avec un mot de passe en clair.

Selon Œil, le compte accorde des privilèges d’administrateur et fonctionne à la fois sur SSH et sur l’interface Web.

Eye a déclaré qu’un attaquant pourrait utiliser les informations d’identification pour modifier les paramètres du pare-feu afin de bloquer ou d’autoriser certains trafics. Des comptes VPN peuvent également être créés pour accéder au réseau derrière l’appareil. Lorsqu’il est combiné avec d’autres vulnérabilités telles que Zerologon, «cela pourrait être dévastateur pour les petites et moyennes entreprises.»

2021 01 04 Image 9

La société de sécurité a déclaré que plus de 100 000 appareils Zyxel ont leur interface Web exposée à Internet.

Zyxel dans un avis de sécurité a déclaré que le compte était conçu pour fournir des mises à jour automatiques du micrologiciel aux points d’accès connectés via FTP.

Publicité

Les produits vulnérables comprennent les séries de pare-feu ATP, USG, USG FLEX et VPN exécutant le micrologiciel ZLD V4.60. Les contrôleurs AP NXC2500 et NXC5500 exécutant les micrologiciels V6.00 à V6.10 sont également concernés.

Eye a immédiatement informé Zyxel du compte non documenté et en moins de deux semaines, la société a publié un micrologiciel mis à jour pour résoudre ce problème et d’autres problèmes affectant les pare-feu. Selon Zyxel, un correctif pour corriger les contrôleurs AP sera publié le 8 janvier.

Crédit d’image Pixabay

Rate this post
Publicité
Article précédentTrafic de recherche Google vers les sites pirates après les mises à jour de l’algorithme
Article suivanteBook: Pratiques Open Source courantes dans le développement d’applications cloud natives
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici