Titkos hátsó ajtót találtak több Zyxel termékben

routerEgy nem dokumentált, beégetett titkos felhasználói fiókot találtak Zyxel termékekben, a hibát azóta a gyártó egy frissítéssel orvosolta.

Egy holland biztonsági szakértő, Niels Teusink találta meg a Zyxel termékeit érintő kritikus sérülékenységet. Gyakorlatilag egy nem dokumentált, beégetett titkos felhasználói fiókról van szó, amelynek segítségével a támadó adminisztrátor jogokkal léphet be az eszközökön keresztül a felhasználó hálózatába. A CVE-2020-29583 nevű sérülékenység a 4.60 verziószámú firmware-t érinti, és egy sor népszerű termékben megtalálható, közöttük a Unified Security Gateway (USG), USG FLEX, AP és VPN tűzfal termékekben. A biztonsági szakértő november 29-én jelezte a problémát a gyártónak, aki december 18-ra már elkészítette a tűzfalak frissítését, az AP-k frissítését 2021 áprilisára tervezik. A termékekben egy nem dokumentált, zyfwp nevű felhasználót találtak, amelyhez egy megváltozhatatlan, sima szövegben tárolt jelszó is járt. A Zyxel szerint a termékekbe beégetett felhasználót azért hozták létre, hogy a termékeket automatikusan frissíthessék FTP-n keresztül. Hogy aztán végül pontosan hogyan maradt ki mindez a dokumentációból, hogyan “feledkeztek” meg róla, arról nincs információ.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.