Zyxel-apparatuur kwetsbaar door ongedocumenteerd gebruikersaccount
Netwerkfabrikant Zyxel heeft een kritieke kwetsbaarheid in de eigen apparatuur verholpen die ontstond door een ongedocumenteerd gebruikersaccount met een niet te wijzigen wachtwoord. Met het account hadden aanvallers via de webinterface en SSH op Zyxel-apparaten kunnen inloggen.
Het beveiligingslek was aanwezig in de firmware voor de Zyxel USG, ATP, VPN, ZyWALL en USG FLEX met versienummer 4.60. Beveiligingsonderzoeker Niels Teusink van securitybedrijf Eye ontdekte in deze firmware het ongedocumenteerde gebruikersaccount en het bijbehorende wachtwoord in plaintext. Het gebruikersaccount was niet zichtbaar voor gebruikers en ook bleek het wachtwoord niet te kunnen worden gewijzigd.
In een eerdere versie van de firmware was het gebruikersaccount wel aanwezig, maar ontbrak een wachtwoord. Volgens Teusink lijkt het erop dat de kwetsbaarheid in versie 4.60 van de firmware is geïntroduceerd. Via openbare data van Project Sonar ontdekte de onderzoeker drieduizend Zyxel USG/ATP/VPN-apparaten in Nederland en meer dan honderdduizend wereldwijd waarvan de webinterface vanaf het internet toegankelijk is. Of deze apparaten ook een kwetsbare versie van de firmware draaien laat de onderzoeker niet weten.
Eye waarschuwde Zyxel op 29 november van dit jaar, waarop de kwetsbare firmware op 9 december door de netwerkfabrikant werd teruggetrokken. Op 15 december verscheen firmware 4.60 patch 1 waarin de kwetsbaarheid (CVE-2020-29583) is verholpen. Gebruikers wordt aangeraden de laatste versie te installeren.
Vast niet. Het zijn geen stemmachines die ze maken.
Vast niet. Het zijn geen stemmachines die ze maken.
Klanten van ons willen dolgraag met hun Windows 2008 VM's in ons Military-grade datacenter zitten, in de hoop dat die brakke dozen dan magisch van Kei-hardium gemaakt zijn.
...Zo werkt het niet.
Wel betekent het behalen van allerlei certificaten dat je op zijn minst een keer per jaar moeite doet, en weet wat je eigenlijk zou moeten doen, als je weer het Standaard Wachtwoord per mail naar een 3rd party stuurt, of een klant een wildcard certificaat verkoopt.
Eindklant is aansprakelijk voor datalekken, hoster alleen voor het leveren van de gevraagde dienst, zoals uptime, en vooraf afgesproken patchmanagement.
Oh, moet dat op de 12e, zonder testen? U vraagt... Moet het op de 14e, met test en rollback-scenario? ... wij draaien...
en is de 13e dan alles stuk? wij rennen voor u.
maar Eindklant is aansprakelijk voor datalekken van hun consumenten, de hoster host het, en de eindklant mag uiteraard atijd een audit aanvragen. kost wat, maar dan heb je ook wat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.