Titkos hátsó ajtót találtak több Zyxel termékben

routerEgy nem dokumentált, beégetett titkos felhasználói fiókot találtak Zyxel termékekben, a hibát azóta a gyártó egy frissítéssel orvosolta.

Egy holland biztonsági szakértő, Niels Teusink találta meg a Zyxel termékeit érintő kritikus sérülékenységet. Gyakorlatilag egy nem dokumentált, beégetett titkos felhasználói fiókról van szó, amelynek segítségével a támadó adminisztrátor jogokkal léphet be az eszközökön keresztül a felhasználó hálózatába. A CVE-2020-29583 nevű sérülékenység a 4.60 verziószámú firmware-t érinti, és egy sor népszerű termékben megtalálható, közöttük a Unified Security Gateway (USG), USG FLEX, AP és VPN tűzfal termékekben. A biztonsági szakértő november 29-én jelezte a problémát a gyártónak, aki december 18-ra már elkészítette a tűzfalak frissítését, az AP-k frissítését 2021 áprilisára tervezik. A termékekben egy nem dokumentált, zyfwp nevű felhasználót találtak, amelyhez egy megváltozhatatlan, sima szövegben tárolt jelszó is járt. A Zyxel szerint a termékekbe beégetett felhasználót azért hozták létre, hogy a termékeket automatikusan frissíthessék FTP-n keresztül. Hogy aztán végül pontosan hogyan maradt ki mindez a dokumentációból, hogyan “feledkeztek” meg róla, arról nincs információ.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

Next Post

Megfertőződött szoftver: így jutnak be a kártevők az eszközeinkbe V.

csü jan 28 , 2021
Annak érdekében, hogy segítsék a fenyegetések elleni küzdelmet, az ESET kiberbiztonsági szakértői bemutatnak néhányat a leggyakoribb módszerekből és taktikákból, amelyekkel ráveszik a mit sem sejtő netezőket az adataik biztonságát veszélyeztető kártevők letöltésére. Bár nem gyakori, előfordul, hogy egy fenyegetés közvetlenül támadja a szoftvert. A windowsos CCleaner 2017-es esete vagy a […]
torrent

Friss, ropogós