Konto utworzone domyślnie w sprzęcie marki ZyXel

W urządzeniach sieciowych marki ZyXel wykryto konto na poziomie administratora, z przypisanym domyślnie hasłem.

W minione święta badacz Niels Teusink z holenderskiej firmy EYE poinformował o luce w sprzęcie marki Zyxel. Chodzi o nieudokumentowane konto na poziomie administratora, o nazwie „zyfwp”, z zakodowanym do niego hasłem, które znajduje się w wielu sprzętowych zaporach sieciowych i kontrolerach bezprzewodowych. W kodzie oprogramowania układowego znajduje się hasło zapisane w postaci niezaszyfrowanej. Właściciele feralnych urządzeń muszą niezwłocznie zaktualizować ich oprogramowanie układowe.

Na czym polega zagrożenie?

Konto takie umożliwia osobom postronnym łączenie się z urządzeniem poprzez interfejs sieciowy lub protokół SSH i uzyskanie dostępu na poziomie administratora. Niestety nie jest możliwe ani wyłączenie konta, ani zmiana hasła. Mówiąc wprost, nie można usunąć tego błędu poprzez zmianę ustawień urządzenia.

Według Teusinka szczególnie niebezpieczne jest to, że część urządzeń używa portu 443 nie tylko do uzyskiwania dostępu przez interfejs WWW, ale także dla SSL VPN. Z tego względu w wielu sieciach do portu tego można uzyskać dostęp z poziomu internetu. Przypomnijmy: dostęp zdalny do firmowych zasobów jest dziś szczególnie pożądany, gdyż ze względu na pandemię koronawirusa wielu pracowników na całym świecie pracuje z domu.

Brama VPN umożliwia użytkownikom tworzenie nowych kont w celu uzyskiwania dostępu do zasobów znajdujących się w sieci firmowej. Luka ta może także umożliwić zmianę konfiguracji urządzenia oraz zablokowanie lub przechwycenie ruchu.

Ze względów etycznych i z uwagi na bezpieczeństwo badacz nie opublikował hasła, jednak napisał, jak je znaleźć, w związku z czym część zasobów cyberprzestępczych już je upubliczniła. Teraz lukę tę może wykorzystać nawet osoba bez nieposiadająca jakichś szczególnych umiejętności, a zatem sytuacja jest pilna.

Które urządzenia są podatne?

Luka dotyczy urządzeń zapory sieciowej ATP, USG, USG FLEX i serii VPN dla małych firm, na których zainstalowana jest wersja oprogramowania układowego ZLD v4.60. Pełna lista modeli, które wymagają natychmiastowej aktualizacji oprogramowania, jak również łącza do stosownych łat, jest dostępna na stronie internetowej marki ZyXel.

Na liście podatnych urządzeń znajdują się również kontrolery sieci bezprzewodowej NXC2500 i NXC5500 z wersjami oprogramowania v6.00 do v6.10, lecz łaty dla nich nie są jeszcze gotowe. Firma ZyXel obiecała udostępnić je 8 stycznia 2021 r.

Luka ta nie zagraża starszym wersjom oprogramowania układowego, co jednak nie oznacza, że ich właściciele nie mają się czego obawiać. Z tego względu regularne aktualizowanie urządzeń pomaga w zapewnieniu im bezpieczeństwa.

Co należy zrobić

Niezwłocznie zaktualizuj oprogramowanie układowe każdego podatnego urządzenia za pomocą łat dostępnych na formach firmy ZyXel. Jeśli dla urządzenia, które posiadasz, nie jest dostępna jeszcze stosowna łata, monitoruj sytuację.

Ponadto zalecamy zastosowanie silnej ochrony na stacjach roboczych; komputery pracowników muszą być chronione, zanim atakujący potencjalnie uzyska dostęp do sieci firmowej.

Porady