Enorme achterpoort in Zyxel-hardware treft meer dan 100.000 toestellen

zyxel

Zyxel plaatste zelf een hardgecodeerde achterpoort in meer dan 100.000 firewalls en VPN-gateways als onverantwoorde gemakkelijkheidsoplossing voor de uitvoering van updates. De kritische kwetsbaarheid is heel eenvoudig te misbruiken door hackers.

Gebruikersnaam ‘zyfwp’ en wachtwoord ‘PrOw!aN_fXp’: met die credentials krijg je administrator-toegang tot meer dan 100.000 firewalls, VPN gateways en access point-controllers van de Taiwanese netwerkspecialist Zyxel. Het bedrijf stopte de hardgecodeerde inloggegevens in duidelijk zichtbaar in de firmwarecode van zijn producten, waar het Nederlandse beveiligingsbedrijf Eye Control ze ontdekte.

Eenvoudig misbruik

Het administrator-account is eenvoudig toegankelijk via SSH of het webconsole. Wie de gegevens gebruikt om in te loggen, kan dankzij de ingebakken rechten het getroffen toestel volledig naar zijn hand zetten. Omdat de combinatie van gebruikersnaam en wachtwoord in alle toestellen identiek is, valt de achterpoort bovendien erg eenvoudig te misbruiken door geautomatiseerde botnets.

De achterpoort zit in verschillende hardwareproducten van Zyxel. Toestellen in de ATP, USG, USG Flex, VPN en NXC-line-ups zijn getroffen. Firmware met versie 4.60 is kwetsbaar. Het lek is intussen gecatalogiseerd als CVE-2020-29583 en Zyxel lanceerde een update die het account verwijderd. Het spreekt voor zich dat je niet mag wachten met de installatie van die update, gezien de ernst van het probleem en de eenvoud waarmee iemand het kan uitbuiten.

Een ezel…

Het is de tweede keer dat Zyxel doelbewust een achterpoort in zijn eigen hardware bouwt. In 2016 deed Zyxel al iets gelijkaardigs door een account met hoge rechten in te bakken in de firmware voor routers. Dat lek was complexer om uit te buiten aangezien een aanvallers eerst lagere toegang tot de router in kwestie nodig had. Met low-level-credentials was het wel mogelijk het ingebakken account te misbruiken, wat volgens ZDNet effectief gebeurde. Zyxel leerde niets uit dat voorval aangezien deze kwetsbaarheid meer toestellen treft, ernstiger is en eenvoudiger te misbruiken is.

Logingegevens zichtbaar coderen in binaries is altijd een erbarmelijk idee. Dat op deze schaal doen, na een eerder schandaal, is onbegrijpelijk. Het account werd door Zyxel gebruikt om firmware-updates uit te rollen maar dat is geen excuus. Integendeel: de aanpak geeft het account per definitie de nodige rechten om de hele firmware aan te passen. Zyxel is niet de grootste speler in de sector maar desalniettemin een gekende naam die al geruime tijd mee gaat. Dat het bedrijf een dergelijke flater slaat, is onbegrijpelijk.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.