Grave vulnerabilità su apparati di rete Zyxel: 100 mila dispositivi a rischio

Grave vulnerabilità su apparati di rete Zyxel: 100 mila dispositivi a rischio

Un accesso con privilegi di admin permette di prendere pieno controllo dei dispositivi, con il rischio di compromettere il traffico che vi passa attraverso. Le patch correttive sono già disponibili per quasi tutti i dispositivi interessati

di pubblicata il , alle 12:41 nel canale Sicurezza
 

La società di sicurezza EYE ha individuato una vulnerabilità critica in oltre 100 mila firewall, gateway VPN e access point controller di Zyxel, che ha il potenziale di comprometterne completamente l'integrità e di conseguenza la riservatezza dei dati che vi passano attraverso. La vulnerabilità trae origine dall'esposizione di una coppia nome utente e password con privilegi di amministratore che di fatto rappresenta una backdoor "hardcoded" per tutti i dispositivi toccati dal problema.

Vulnerabilità Zyxel: è una backdoor hardcoded

Questa situazione consente ad hacker e malintenzionati di poter ottenere accesso di root e quindi il controllo completo dei dispositivi sia tramite SSH, sia tramite il pannello dell'interfaccia web. Il problema riguarda i firewall che eseguono il firmware ZLD V4.60 e tocca le serie ATP, USG, USG FLEX e VPN. Sono interessati anche i controller AP NXC2500 e NXC5500.

Si tratta di una vulnerabilità che potrebbe essere particolarmente pericolosa per le piccole realtà se combinata con altre. Niels Teusink, il ricercatore di EYE che ha analizzato il problema, ha commentato: "Un malintenzionato potrebbe modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Sarebbe possibile intercettare il traffico e creare account VPN per ottenere accesso alla rete che sta alle spalle del dispositivo". Zyxel fornisce dispositivi di rete a diverse tipologie di clienti, da privati ad aziende, ed è in particolare molto popolare tra le piccole e medie imprese. Le credenziali esposte sono utilizzate per fornire aggiornamenti automatici del firmware ai dispositivi connessi tramite FTP.

EYE ha notificato la vulnerabilità a Zyxel alla fine del mese di novembre, affermando che la società ha dato immediato riscontro procedendo a risolvere il problema. Zyxel ha dato evidenza pubblica al problema alla fine del mese di dicembre rilasciando le patch per i dispositivi interessati, ma non tutti: l'aggiornamento correttivo per gli access point controller è infatti pianificato per il mese di aprile.

Vulnerabilità di questo tipo sono divenute sempre più comuni nel passato recente. Sono le strutture VPN ad essere più a rischio, poiché a fronte della necessità di essere attive 24:7 è meno probabile che vengnano aggiornate sempre con prontezza. Il problema invece si amplifica nel caso degli utenti privati, che normalmente non aggiorna il firmware dei propri dispositivi o lo fa non con particolare frequenza.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
io78bis04 Gennaio 2021, 13:16 #1
Quindi ancora con username/password schiantati nel codice?

Non è qualcosa che si potrebbe fare con un'autenticazione su certificati?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^