Zyxel ha rilasciato una patch per risolvere una vulnerabilità critica nel suo firmware riguardante un account segreto non documentato e hardcoded che potrebbe essere abusato da un utente malintenzionato per accedere con privilegi amministrativi e compromettere i suoi dispositivi di rete.
La falla, tracciata come CVE-2020-29583 (punteggio CVSS 7.8), interessa la versione 4.60 presente in un'ampia gamma di dispositivi Zyxel, inclusi Unified Security Gateway (USG), USG FLEX, ATP e prodotti firewall VPN.
Il ricercatore EYE Niels Teusink ha segnalato la vulnerabilità a Zyxel il 29 novembre, in seguito alla quale la società ha rilasciato una patch del firmware (ZLD V4.60 Patch1) il 18 dicembre.
Secondo l' avviso pubblicato da Zyxel, l'account non documentato ("zyfwp") viene fornito con una password non modificabile (" PrOw! AN_fXp ") che non è solo memorizzata come testo in chiaro, ma potrebbe anche essere utilizzata da terze parti dannose per accedere a SSH server o interfaccia web con privilegi di amministratore.
Zyxel ha affermato che le credenziali hardcoded sono state messe in atto per fornire aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP.
Notando che circa il 10% di 1000 dispositivi nei Paesi Bassi eseguono la versione del firmware interessata, Teusink ha affermato che la relativa facilità di sfruttamento del difetto lo rende una vulnerabilità critica.
"Poiché l'utente ' zyfwp ' dispone dei privilegi di amministratore, questa è una grave vulnerabilità", ha affermato Teusink in un articolo. "Un utente malintenzionato potrebbe compromettere completamente la riservatezza, l'integrità e la disponibilità del dispositivo".
"Qualcuno potrebbe ad esempio modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbe anche intercettare il traffico o creare account VPN per ottenere l'accesso alla rete dietro il dispositivo. Combinato con una vulnerabilità come Zerologon, questo potrebbe essere devastante per le piccole e medie imprese. "
La società taiwanese dovrebbe anche affrontare il problema nei suoi controller del punto di accesso (AP) con una patch V6.10 che verrà rilasciata nell'aprile 2021.
Si consiglia vivamente agli utenti di installare gli aggiornamenti firmware necessari per mitigare il rischio associato al difetto.
