Nieuws
image

Zyxel-apparatuur kwetsbaar door ongedocumenteerd gebruikersaccount

woensdag 23 december 2020, 10:02 door Redactie, 4 reacties

Netwerkfabrikant Zyxel heeft een kritieke kwetsbaarheid in de eigen apparatuur verholpen die ontstond door een ongedocumenteerd gebruikersaccount met een niet te wijzigen wachtwoord. Met het account hadden aanvallers via de webinterface en SSH op Zyxel-apparaten kunnen inloggen.

Het beveiligingslek was aanwezig in de firmware voor de Zyxel USG, ATP, VPN, ZyWALL en USG FLEX met versienummer 4.60. Beveiligingsonderzoeker Niels Teusink van securitybedrijf Eye ontdekte in deze firmware het ongedocumenteerde gebruikersaccount en het bijbehorende wachtwoord in plaintext. Het gebruikersaccount was niet zichtbaar voor gebruikers en ook bleek het wachtwoord niet te kunnen worden gewijzigd.

In een eerdere versie van de firmware was het gebruikersaccount wel aanwezig, maar ontbrak een wachtwoord. Volgens Teusink lijkt het erop dat de kwetsbaarheid in versie 4.60 van de firmware is geïntroduceerd. Via openbare data van Project Sonar ontdekte de onderzoeker drieduizend Zyxel USG/ATP/VPN-apparaten in Nederland en meer dan honderdduizend wereldwijd waarvan de webinterface vanaf het internet toegankelijk is. Of deze apparaten ook een kwetsbare versie van de firmware draaien laat de onderzoeker niet weten.

Eye waarschuwde Zyxel op 29 november van dit jaar, waarop de kwetsbare firmware op 9 december door de netwerkfabrikant werd teruggetrokken. Op 15 december verscheen firmware 4.60 patch 1 waarin de kwetsbaarheid (CVE-2020-29583) is verholpen. Gebruikers wordt aangeraden de laatste versie te installeren.

Reacties (4)
23-12-2020, 10:34 door Anoniem
Handig. En ze hebben vast heel veel procedures en zijn ook vast wel ergens voor gecertificeerd. Toch?
23-12-2020, 13:11 door [Account Verwijderd]
Door Anoniem: Handig. En ze hebben vast heel veel procedures en zijn ook vast wel ergens voor gecertificeerd. Toch?

Vast niet. Het zijn geen stemmachines die ze maken.
23-12-2020, 19:47 door Anoniem
Door Toje Fos:
Door Anoniem: Handig. En ze hebben vast heel veel procedures en zijn ook vast wel ergens voor gecertificeerd. Toch?

Vast niet. Het zijn geen stemmachines die ze maken.
Volgens mij wapperen ze wel met een of ander veiligheidscertificaat voor firewalls hoor!
23-12-2020, 23:21 door Anoniem
Door Anoniem: Handig. En ze hebben vast heel veel procedures en zijn ook vast wel ergens voor gecertificeerd. Toch?
ik kan mijn fruitmand ISO27001 certificeren, maar dat wil niet zeggen dat er geen rotte appels in zitten.
Klanten van ons willen dolgraag met hun Windows 2008 VM's in ons Military-grade datacenter zitten, in de hoop dat die brakke dozen dan magisch van Kei-hardium gemaakt zijn.
...Zo werkt het niet.

Wel betekent het behalen van allerlei certificaten dat je op zijn minst een keer per jaar moeite doet, en weet wat je eigenlijk zou moeten doen, als je weer het Standaard Wachtwoord per mail naar een 3rd party stuurt, of een klant een wildcard certificaat verkoopt.

Eindklant is aansprakelijk voor datalekken, hoster alleen voor het leveren van de gevraagde dienst, zoals uptime, en vooraf afgesproken patchmanagement.
Oh, moet dat op de 12e, zonder testen? U vraagt... Moet het op de 14e, met test en rollback-scenario? ... wij draaien...
en is de 13e dan alles stuk? wij rennen voor u.
maar Eindklant is aansprakelijk voor datalekken van hun consumenten, de hoster host het, en de eindklant mag uiteraard atijd een audit aanvragen. kost wat, maar dan heb je ook wat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search