ZyXEL, scovata Backdoor: oltre 100mila dispositivi a rischio
Oltre 100’000 controller ZyXEL, presenti in Access Point, gateway VPN e firewall presentano una backdoor hardcoded che può consentire l’accesso a malintenzionati sia via SSH che attraverso il pannello di amministrazione web.
Il nome utente e la password (zyfwp/PrOw!aN_fXp) erano visibili nei binari dell’ultimo firmware rilasciato dall’azienda.
Questa notizia è emersa grazie all’articolo pubblicato da a Niels Teusink, ricercatore presso l’azienda di cibersecurity EYE. Dopo una rapida verifica Teusink ha scovato 3000 dispositivi dispositivi esposti in Olanda, oltre 100mila a livello mondiale.
Gli esperti di sicurezza avvertono che chiunque, chi ha in mano una botnet, gruppi di cybercriminali, sviluppatori di ransomware, può abusare di questa backdoor per accedere a dispositivi che ora come ora sono completamente vulnerabili. Le credenziali possono essere usate per accedere al pannello di configurazione del dispositivo e operare qualsiasi tipo di modifica.
ZyXEL dietro la lavagna
ZyXEL è un’azienda produttrice di DSL con sede a Taiwan fondata nel 1989. Sicuramente l’intento dell’azienda non era quello di inserire una backdoor e fare una figuraccia a livello mondiale. Si è trattato probabilmente di un errore maldestro, la tesi più accreditata è una mancata cancellazione delle credenziali all’atto del passaggio del firmware dalla fase di sviluppo alla produzione. Errore che era già successo nel 2016 quando fu rilasciato un firmware con una backdoor “segreta” permettendo a chiunque di acquisire i privilegi di root usando la password zyad5001 (super-user password).
Il problema è presente nella versione 4.60 del firmware ma non nella precedente (v 4.39) e i modelli interessati includono la maggior parte dei prodotti ZyXEL, solitamente distribuiti su reti aziendali e governative private:
- la serie Advanced Threat Protection (ATP), utilizzata principalmente come firewall;
- la serie Unified Security Gateway (USG), utilizzata come firewall ibrido e gateway VPN;
- la serie USG FLEX, utilizzata come firewall ibrido e gateway VPN;
- la serie VPN – usata come Gateway VPN;
- la serie NXC – utilizzata come controller del punto di accesso WLAN.
Attualmente sono state rilasciate patch per le serie ATP, USG, USG Flex e VPN. Le patch per la serie NXC sono previste per l’8 gennaio come comunicato dall’azienda.
Fondamentalmente la patch non fa altro che rimuovere l’account con username “zyfwp” e password “PrOw!aN_fXp” rendendolo inattivo.
Per verificare la presenza della backdoor sul proprio sistema è sufficiente avviare una sessione via SSH e dare il comando:
show users current:
controllando l’eventuale presenza di un account zyfwp.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
Fonte: https://www.lffl.org/2021/01/zyxel-backdoor-100mila-dispositivi-a-rischio.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
