Zyxel-apparatuur kwetsbaar door ongedocumenteerd gebruikersaccount
Netwerkfabrikant Zyxel heeft een kritieke kwetsbaarheid in de eigen apparatuur verholpen die ontstond door een ongedocumenteerd gebruikersaccount met een niet te wijzigen wachtwoord. Met het account hadden aanvallers via de webinterface en SSH op Zyxel-apparaten kunnen inloggen.
Het beveiligingslek was aanwezig in de firmware voor de Zyxel USG, ATP, VPN, ZyWALL en USG FLEX met versienummer 4.60. Beveiligingsonderzoeker Niels Teusink van securitybedrijf Eye ontdekte in deze firmware het ongedocumenteerde gebruikersaccount en het bijbehorende wachtwoord in plaintext. Het gebruikersaccount was niet zichtbaar voor gebruikers en ook bleek het wachtwoord niet te kunnen worden gewijzigd.
In een eerdere versie van de firmware was het gebruikersaccount wel aanwezig, maar ontbrak een wachtwoord. Volgens Teusink lijkt het erop dat de kwetsbaarheid in versie 4.60 van de firmware is geïntroduceerd. Via openbare data van Project Sonar ontdekte de onderzoeker drieduizend Zyxel USG/ATP/VPN-apparaten in Nederland en meer dan honderdduizend wereldwijd waarvan de webinterface vanaf het internet toegankelijk is. Of deze apparaten ook een kwetsbare versie van de firmware draaien laat de onderzoeker niet weten.
Eye waarschuwde Zyxel op 29 november van dit jaar, waarop de kwetsbare firmware op 9 december door de netwerkfabrikant werd teruggetrokken. Op 15 december verscheen firmware 4.60 patch 1 waarin de kwetsbaarheid (CVE-2020-29583) is verholpen. Gebruikers wordt aangeraden de laatste versie te installeren.
Vast niet. Het zijn geen stemmachines die ze maken.
Vast niet. Het zijn geen stemmachines die ze maken.
Klanten van ons willen dolgraag met hun Windows 2008 VM's in ons Military-grade datacenter zitten, in de hoop dat die brakke dozen dan magisch van Kei-hardium gemaakt zijn.
...Zo werkt het niet.
Wel betekent het behalen van allerlei certificaten dat je op zijn minst een keer per jaar moeite doet, en weet wat je eigenlijk zou moeten doen, als je weer het Standaard Wachtwoord per mail naar een 3rd party stuurt, of een klant een wildcard certificaat verkoopt.
Eindklant is aansprakelijk voor datalekken, hoster alleen voor het leveren van de gevraagde dienst, zoals uptime, en vooraf afgesproken patchmanagement.
Oh, moet dat op de 12e, zonder testen? U vraagt... Moet het op de 14e, met test en rollback-scenario? ... wij draaien...
en is de 13e dan alles stuk? wij rennen voor u.
maar Eindklant is aansprakelijk voor datalekken van hun consumenten, de hoster host het, en de eindklant mag uiteraard atijd een audit aanvragen. kost wat, maar dan heb je ook wat.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
