Specjaliści ds. bezpieczeństwa cybernetycznego Eye odkryli coś, co może zniszczyć renomę firmy ZyXEL. Okazało się, że wraz z ostatnią aktualizacją oprogramowania sprzętowego dla różnych zapór ogniowych i kontrolerów AP tego producenta umieszczono w nim backdoory. Twardo zakodowana luka uwierzytelniająca składa się z nieudokumentowanego konta użytkownika wraz z prostym hasłem. Według Eye, konto to nadaje uprawnienia administratora i działa zarówno na SSH jak i na interfejsie WWW.

Backdoory w sprzęcie ZyXEL

Backdoory w sprzęcie ZyXEL

Według odkrywców luki osoba, która z niej skorzysta, może użyć danych uwierzytelniających do zmiany ustawień firewalla, aby zablokować lub zezwolić na pewien ruch. Konta VPN mogą być również tworzone w celu uzyskania dostępu do sieci za urządzeniem. W połączeniu z innymi lukami, takimi jak Zerologon może to być katastrofalne dla małych i średnich firm. Firma Eye podkreśla, że ponad 100 tysięcy urządzeń ZyXEL zostało wyposażonych w tę dodatkową lukę. Sam producent sprzętu tłumaczy się, że konto zostało zaprojektowane tak, aby dostarczać automatyczne aktualizacje firmware do podłączonych punktów dostępowych poprzez FTP. Biorąc jednak pod uwagę zagrożenia jakie ono daje, oraz możliwości do szpiegowania brzmi to raczej jak tania wymówka. 

Zobacz też: Zakupy, muzyka, nawigacja i gry w AppGallery – bądź zawsze na bieżąco!

Do produktów podatnych na zagrożenia należą firewalle z oprogramowaniem firmowym ZLD V4.60 z serii ATP, USG, USG FLEX i VPN. Dotyczy to również kontrolerów AP NXC2500 i NXC5500 z oprogramowaniem układowym od V6.00 do V6.10. Eye natychmiast powiadomił firmę ZyXEL o nieudokumentowanym koncie. Sam producent w ciągu niespełna dwóch tygodni firma udostępnił zaktualizowany firmware. Ma to naprawić ten i inne problemy mające wpływ na zapory sieciowe. Według ZyXEL łatka do naprawy kontrolerów AP zostanie wydana 8 stycznia. Miejmy nadzieję, że także ona będzie przejrzana przez czujne oko Eye. 

Źródło: TechSpot

Google News
Obserwuj ANDROID.COM.PL w Google News i bądź zawsze na bieżąco!
Obserwuj

Paweł Maretycz

Sceptyczny fan nowych technologii. Uwielbia małe urządzenia, nawet jego komputer to mini ITX.