Cuenta secreta de puerta trasera encontrada en varios cortafuegos Zyxel, productos VPN

Firewall Zyxel, cuenta de puerta trasera VPN

Zyxel ha lanzado un parche para abordar una vulnerabilidad crítica en su firmware relacionada con una cuenta secreta no documentada codificada de forma rígida que un atacante podría abusar para iniciar sesión con privilegios administrativos y comprometer sus dispositivos de red.

La falla, rastreada como CVE-2020-29583 (puntaje CVSS 7.8), afecta la versión 4.60 presente en una amplia gama de dispositivos Zyxel, incluidos Unified Security Gateway (USG), USG FLEX, ATP y productos de firewall VPN.

El investigador de EYE, Niels Teusink, informó sobre la vulnerabilidad de Zyxel el 29 de noviembre, luego de lo cual la compañía lanzó un parche de firmware (ZLD V4.60 Patch1) el 18 de diciembre.

Según el aviso publicado por Zyxel, la cuenta no documentada («zyfwp») viene con una contraseña inmutable que no solo se almacena en texto sin formato, sino que también podría ser utilizada por un tercero malintencionado para iniciar sesión en el servidor SSH o en la interfaz web con privilegios de administrador. .

Zyxel dijo que las credenciales codificadas se implementaron para entregar actualizaciones automáticas de firmware a los puntos de acceso conectados a través de FTP.

Al señalar que alrededor del 10% de 1000 dispositivos en los Países Bajos ejecutan la versión de firmware afectada, Teusink dijo que la relativa facilidad de explotación de la falla la convierte en una vulnerabilidad crítica.

«Como el ‘zyfwp«El usuario tiene privilegios de administrador, esta es una vulnerabilidad grave», dijo Teusink en un artículo. «Un atacante podría comprometer por completo la confidencialidad, la integridad y la disponibilidad del dispositivo».

«Alguien podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico. También podría interceptar el tráfico o crear cuentas VPN para obtener acceso a la red detrás del dispositivo. Combinado con una vulnerabilidad como Zerologon, esto podría ser devastador para las pequeñas y medianas empresas. «

También se espera que la empresa taiwanesa aborde el problema en sus controladores de punto de acceso (AP) con un V6.10 Patch1 que se lanzará en abril de 2021.

Se recomienda encarecidamente que los usuarios instalen las actualizaciones de firmware necesarias para mitigar el riesgo asociado con la falla.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática