Hard-coded account in ZyXel-apparatuur

“Zyfwp,” een account op beheerdersniveau met een hard-coded wachtwoord, ontdekt in verschillende netwerkapparaten gemaakt door ZyXel.

Afgelopen kerst meldde onderzoeker Niels Teusink van het Nederlandse bedrijf EYE een kwetsbaarheid in Zyxel-apparatuur: een niet-gedocumenteerd wachtwoord in een aantal hardware-firewalls en draadloze controllers. De firmware-code bevat het wachtwoord, dat niet versleuteld is. Eigenaars worden dringend geadviseerd om hun firmware te updaten.

Wat zijn de risico’s?

Het account stelt buitenstaanders in staat om verbinding met het apparaat te maken via een web-interface of het SSH-protocol, waardoor er toegang op beheerdersniveau verkregen wordt. Het account kan niet worden uitgeschakeld en het wachtwoord niet gewijzigd. In andere woorden: u kunt de kwetsbaarheid niet verwijderen door de apparaat-instellingen te wijzigen.

Wat volgens Teusink vooral gevaarlijk is, is het gebruik van sommige apparaten van poort 443 voor SSL VPN naast het normale gebruik voor toegang tot de web-interface. Hierdoor is op een aantal netwerken de poort open voor toegang vanaf het internet. Toegang op afstand tot bedrijfsmiddelen is in deze tijden erg in trek, nu veel werknemers over de hele wereld thuiswerken vanwege de coronaviruspandemie.

De VPN-gateway stelt gebruikers in staat om nieuwe accounts aan te maken voor toegang tot middelen binnen de bedrijfsperimeter. De kwetsbaarheid kan aanvallers echter ook in staat stellen om het apparaat opnieuw te configureren en verkeer te blokkeren of onderscheppen.

De onderzoeker publiceerde het wachtwoord vanwege ethische en veiligheidsredenen niet, maar zijn bericht legt uit waar u het kunt vinden, dus verschillende cybersecurity resources hebben het al openbaar gemaakt. Zelfs minder vaardige hackers kunnen deze kwetsbaarheid nu benutten, waardoor de situatie erg gevaarlijk is geworden.

Welke apparaten zijn kwetsbaar?

De kwetsbaarheid geldt voor ATP, USG, USG FLEX en VPN-reeks firewall-apparaten voor kleine bedrijven met de firmware-versie ZLD v4.60. De volledige reeks met modellen die onmiddellijk een firmware-update vereisen, samen met links naar relevante patches, is beschikbaar op de ZyXel-website.

De lijst met kwetsbare apparaten omvat NXC2500 en NXC5500 draadloze netwerk-controllers met firmware-versies v6.00 tot en met v6.10, maar daar zijn nog geen patches voor. ZyXel belooft op 8 januari met een release te komen.

De kwetsbaarheid is niet van toepassing op oudere firmware-versies, maar dat betekent niet dat die eigenaren niets te vrezen hebben. Er is een reden dat er nieuwe firmware wordt gemaakt — vaak meer dan één reden — en apparaten geüpdatet houden helpt ze ook veilig te houden.

Wat te doen

Update om te beginnen onmiddellijk de firmware op kwetsbare apparaten met de patches die beschikbaar zijn op de fora van ZyXel. Als er nog geen patches voor uw apparaten zijn, houd de fora dan goed in de gaten en pas de update toe zodra die wordt vrijgegeven.

Bovendien raden we aan om gebruik te maken van sterke werkstationbeveiliging; de computers van werknemers moeten worden beschermd voordat een aanvaller mogelijk toegang kan verkrijgen tot het bedrijfsnetwerk.

Tips