Talvolta capita anche nelle migliori famiglie ma un problema di sicurezza come quello rilevato, questa volta, nei dispositivi Zyxel è particolarmente grave.
Niels Teusink, ricercatore in forze presso l’olandese EYE, realtà specializzata nella cybersecurity, ha scoperto che oltre 100.000 dispositivi a marchio Zyxel sono potenzialmente a rischio di attacco.
L’azienda produttrice ha infatti inserito una coppia di username e password codificandole a livello di firmware. Ciò significa che un aggressore può sfruttare tali credenziali per accedere al pannello di configurazione del dispositivo e compiere qualunque tipo di modifica.
L’intento di Zyxel non era ovviamente quello di inserire una backdoor nei suoi dispositivi: è lecito ipotizzare che gli sviluppatori dell’azienda abbiano inserito delle credenziali temporanee “dimenticandosi” di eliminarle dalla versione del firmware distribuita pubblicamente.
Il problema è presente anche nella versione 4.60 del firmware Zyxel utilizzato su molti modelli di dispositivi, tra i quali firewall, gateway VPN e access point.
Per rendersi conto della presenza della backdoor basta avviare una sessione via SSH sul device Zyxel quindi impartire il comando show users current
: sui prodotti vulnerabili si noterà la presenza di un account zyfwp
(con relativa password ormai condivisa in rete) hardcoded nel firmware.
L’account può essere utilizzato per effettuare il login sui dispositivi Zyxel vulnerabili sia tramite SSH che utilizzando l’interfaccia web. Dal momento che il servizio VPN opera sulla stessa porta utilizzata per esporre l’interfaccia web di amministrazione, Teusink ha scoperto che molti utenti hanno esposto la porta 443 sulla WAN rendendola accessibile dalla rete Internet.
Tra i 100.000 device Zyxel esposti su Internet quelli che rendono accessibile da remoto una VPN possono quindi diventare facile preda dei criminali informatici. Utenti malintenzionati possono infatti, proprio usando le credenziali Zyxel codificate nel firmware, accedere indisturbati alla rete locale altrui e attivare regole di port forwarding per accedere da remoto a qualunque risorsa.
In questo documento di supporto Zyxel conferma l’esistenza della problematica e informa circa la distribuzione dell’aggiornamento del firmware 4.60 Patch 1 che consente, una volta applicato, di rimuovere definitivamente l’account zyfwp
.