Account hard-coded sui dispositivi ZyXel

“Zyfwp”, un account admin con password hard-coded, è stato rilevato su diversi dispositivi di rete realizzati da ZyXel.

Lo scorso Natale, il ricercatore Niels Teusink della società olandese EYE ha segnalato una vulnerabilità presente nei dispositivi Zyxel: è stato rilevato su un certo numero di firewall hardware e controller wireless un account non documentato di livello admin, chiamato “zyfwp”. Il codice del firmware contiene la password, che non è cifrata. Si consiglia vivamente ai proprietari dei dispositivi di aggiornare il firmware.

Quali sono i rischi?

L’account permette a un estraneo di connettersi al dispositivo attraverso un’interfaccia Web o il protocollo SSH, ottenendo l’accesso di livello admin. L’account non può essere disabilitato e la password non può essere modificata. In altre parole, non è possibile eliminare la vulnerabilità modificando le impostazioni del dispositivo.

Particolarmente pericoloso, secondo Teusink, è l’uso da parte di alcuni dispositivi della porta 443 per VPN SSL oltre al suo normale utilizzo per l’accesso all’interfaccia web. Di conseguenza, su diverse reti la porta è aperta per l’accesso via Internet. L’accesso da remoto alle risorse aziendali è particolarmente richiesto al giorno d’oggi, con molti dipendenti in tutto il mondo che lavorano da casa durante la pandemia dovuta al coronavirus.

Il gateway VPN consente agli utenti di creare nuovi account per l’accesso alle risorse all’interno del perimetro aziendale. La vulnerabilità può anche consentire ai criminali informatici di riconfigurare il dispositivo e di bloccare o intercettare il traffico di dati.

Il ricercatore si è astenuto dal pubblicare la password per motivi di etica e sicurezza, ma il suo messaggio spiega dove trovarla, per cui diverse risorse di sicurezza informatica l’hanno già resa pubblica. Anche i cybercriminali non qualificati possono ora sfruttare la vulnerabilità, il che rende la situazione particolarmente precaria.

Quali dispositivi sono vulnerabili?

La vulnerabilità riguarda i dispositivi firewall per piccole imprese della serie ATP, USG, USG FLEX e VPN con versione del firmware ZLD v4.60. L’elenco completo dei modelli che necessitano un aggiornamento immediato del firmware, insieme ai link alle relative patch, è disponibile sul sito di ZyXel.

L’elenco dei dispositivi vulnerabili comprende anche i controller di rete wireless NXC2500 e NXC5500 con le versioni firmware da v6.00 a v6.10, ma le relative patch non sono ancora pronte. ZyXel promette una nuova versione a partire dall’8 gennaio.

La vulnerabilità non influisce sulle versioni di firmware più vecchie, ma ciò non significa che i proprietari non abbiano nulla da temere. I nuovi firmware vengono creati per un motivo, spesso più di uno, e mantenere i dispositivi aggiornati aiuta a mantenerli al sicuro.

Cosa fare

Per cominciare, aggiornate immediatamente il firmware di qualsiasi dispositivo vulnerabile con le patch disponibili sui forum di ZyXel. Se non sono ancora disponibili le patch per i vostri dispositivi, monitorate attentamente i forum e installate l’aggiornamento non appena disponibile.

Inoltre, si consiglia di utilizzare un forte sistema di sicurezza per le workstation; i computer dei dipendenti devono essere protetti prima che un criminale informatico possa accedere alla rete aziendale.

Consigli