Zyxel a publié un correctif pour résoudre une vulnérabilité critique dans son micrologiciel concernant un compte secret non documenté codé en dur qui pourrait être utilisé de manière abusive par un attaquant pour se connecter avec des privilèges administratifs et compromettre ses périphériques réseau.
La faille, suivie comme CVE-2020-29583 (score CVSS 7,8), affecte la version 4.60 présente dans une large gamme d’appareils Zyxel, y compris les produits Unified Security Gateway (USG), USG FLEX, ATP et VPN.
Le chercheur EYE Niels Teusink a signalé la vulnérabilité de Zyxel le 29 novembre, après quoi la société a publié un correctif de micrologiciel (ZLD V4.60 Patch1) le 18 décembre.
Selon l’ avis publié par Zyxel, le compte non documenté (« zyfwp ») est livré avec un mot de passe inchangeable ( » PrOw! AN_fXp « ) qui est non seulement stocké en texte clair, mais peut également être utilisé par un tiers malveillant pour se connecter au SSH serveur ou interface Web avec des privilèges d’administrateur.
Zyxel a déclaré que les informations d’identification codées en dur ont été mises en place pour fournir des mises à jour automatiques du micrologiciel aux points d’accès connectés via FTP.
Notant qu’environ 10% des 1000 appareils aux Pays-Bas exécutent la version de firmware concernée, Teusink a déclaré que la facilité relative d’exploitation de la faille en faisait une vulnérabilité critique.
« Comme l’utilisateur ‘ zyfwp ‘ a des privilèges d’administrateur, il s’agit d’une vulnérabilité sérieuse », a déclaré Teusink dans un article. « Un attaquant pourrait compromettre complètement la confidentialité, l’intégrité et la disponibilité de l’appareil. »
Lire Aussi : Facebook Messenger Bug permet aux pirates de vous écouter avant de prendre l’appel
« Quelqu’un pourrait par exemple modifier les paramètres du pare-feu pour autoriser ou bloquer certains trafics. Ils pourraient également intercepter le trafic ou créer des comptes VPN pour accéder au réseau derrière l’appareil. Combiné à une vulnérabilité comme Zerologon, cela pourrait être dévastateur pour les petites et moyennes entreprises. »
La société taïwanaise devrait également résoudre le problème dans ses contrôleurs de point d’accès (AP) avec un V6.10 Patch1 qui devrait être publié en avril 2021.
Il est fortement recommandé aux utilisateurs d’installer les mises à jour de micrologiciel nécessaires pour atténuer le risque associé à la faille.