Několik produktů firewallu Zyxel a řadičů WLAN obsahuje pevně zadaná pověření pro neregistrovaný uživatelský účet, který má oprávnění správce.
Identifikována bezpečnostním výzkumníkem EYE Nielsem Teusinkem, tato chyba zabezpečení existuje, protože heslo pro uživatelský účet „zyfwp“ bylo uloženo v prostém textu a bylo viditelné v jednom z binárních souborů v systému.
Účet byl navržen pro doručování automatických aktualizací firmwaru prostřednictvím FTP a je k dispozici na zařízeních Zyxel USG, ATP, VPN, ZyWALL a USG FLEX.
Při výzkumu na svém osobním firewallu Zyxel bezpečnostní výzkumník zjistil nejen to, že problémový uživatelský účet existuje s pevně zakódovanými pověřeními, ale také to, že účet funguje jak na SSH, tak na webovém rozhraní.
Účet, který má oprávnění správce, není na rozhraní viditelný a vlastník zařízení pro něj nemůže změnit heslo. Chyba zabezpečení je sledována jako CVE-2020-29583.
V dřívějších verzích firmwaru účet neměl heslo a chyba zabezpečení byla zdánlivě zavedena v nejnovější iteraci firmwaru. Bylo však zjištěno, že další chyby zabezpečení mají vliv na předchozí vydání firmwaru.
Výzkumník v oblasti bezpečnosti poznamenává, že více než 100 000 zařízení Zyxel USG / ATP / VPN na celém světě má své webové rozhraní vystavené internetu. Ne všechna zařízení však používají zranitelnou verzi firmwaru.
Vzhledem k tomu, že uživatelský účet zyfwp má oprávnění správce, mohlo by zneužití vést ke kompromitované „důvěrnosti, integritě a dostupnosti zařízení,“ říká výzkumník. Útočník by mohl změnit nastavení brány firewall, zachytit provoz nebo vytvořit účty VPN, aby získal přístup k místní síti.
Zyxel říká, že tato zranitelnost má dopad na firewally řady ATP, USG, USG FLEX a VPN, na kterých běží firmware ZLD V4.60, a na řadiče AP NXC2500 a NXC5500, které používají firmware V6.00 až V6.10.
Společnost vydala aktualizace firmwaru ZLD V4.60 Patch1, aby řešila zranitelnost postižených produktů brány firewall, a plánuje vydání V6.10 Patch1 pro zranitelné řadiče 8. ledna.
Uživatelům se doporučuje co nejdříve aktualizovat svá zařízení, aby byla zajištěna jejich ochrana před pevně zakódovanou chybou přihlašovacích údajů a před dříve zjištěnými bezpečnostními chybami v těchto produktech.