ZyXEL, scovata Backdoor: oltre 100mila dispositivi a rischio
Oltre 100’000 controller ZyXEL , presenti in Access Point, gateway VPN e firewall presentano una backdoor hardcoded che può consentire l’accesso a malintenzionati sia via SSH che attraverso il pannello di amministrazione web. Il nome utente e la password (zyfwp/PrOw!aN_fXp) erano visibili nei binari dell’ultimo firmware rilasciato dall’azienda. Questa notizia è emersa grazie all’articolo pubblicato da a Niels Teusink, ricercatore presso l’azienda di cibersecurity EYE. Dopo una rapida verifica Teusink ha scovato 3000 dispositivi dispositivi esposti in Olanda, oltre 100mila a livello mondiale.
Gli esperti di sicurezza avvertono che chiunque, chi ha in mano una botnet, gruppi di cybercriminali, sviluppatori di ransomware, può abusare di questa backdoor per accedere a dispositivi che ora come ora sono completamente vulnerabili. Le credenziali possono essere usate per accedere al pannello di configurazione del dispositivo e operare qualsiasi tipo di modifica.
ZyXEL dietro la lavagna
ZyXEL è un’azienda produttrice di DSL con sede a Taiwan fondata nel 1989. Sicuramente l’intento dell’azienda non era quello di inserire una backdoor e fare una figuraccia a livello mondiale. Si è trattato probabilmente di un errore maldestro, la tesi più accreditata è una mancata cancellazione delle credenziali all’atto del passaggio del firmware dalla fase di sviluppo alla produzione. Errore che era già successo nel 2016 quando fu rilasciato un firmware con una backdoor “segreta” permettendo a chiunque di acquisire i privilegi di root usando la password zyad5001 (super-user password).
Il problema è presente nella versione 4.60 del firmware ma non nella precedente (v 4.39) e i modelli interessati includono la maggior parte dei prodotti ZyXEL, solitamente distribuiti su reti aziendali e governative private:
- la serie Advanced Threat Protection (ATP), utilizzata principalmente come firewall;
- la serie Unified Security Gateway (USG), utilizzata come firewall ibrido e gateway VPN;
- la serie USG FLEX, utilizzata come firewall ibrido e gateway VPN;
- la serie VPN – usata come Gateway VPN;
- la serie NXC – utilizzata come controller del punto di accesso WLAN.
Attualmente sono state rilasciate patch per le serie ATP, USG, USG Flex e VPN. Le patch per la serie NXC sono previste per l’8 gennaio come comunicato dall’azienda.
Per verificare la presenza della backdoor sul proprio sistema è sufficiente avviare una sessione via SSH e dare il comando show users current: controllando l’eventuale presenza di un account zyfwp.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.