Sản phẩm tường lửa và VPN của Zyxel tồn tại backdoor

14:54 | 14/01/2021
M.H

Đầu năm 2021, Zyxel phát hành bản vá giải quyết một lỗ hổng nghiêm trọng trong firmware của hãng liên quan đến một tài khoản bí mật được mã hóa cứng. Lỗ hổng có thể bị kẻ tấn công lợi dụng để đăng nhập với đặc quyền quản trị và xâm phạm các thiết bị mạng của Zyxel.

Lỗ hổng có định danh CVE-2 020-29583 (điểm CVSS 7,8) ảnh hưởng đến phiên bản 4.60 trên một loạt các thiết bị Zyxel, bao gồm USG, USG FLEX, ATP và các sản phẩm tường lửa VPN.

Nhà nghiên cứu Niels Teusink của EYE đã báo cáo lỗ hổng cho Zyxel vào ngày 29/11/2020. Sau đó, Zyxel đã phát hành bản vá firmware (ZLD V4.60 Patch1) ngày 18/12/2020.

Cùng với đó, Zyxel khuyến cáo tài khoản bí mật "zyfwp" đi kèm với một mật khẩu không thể thay đổi "PrOw!AN_fXp" được lưu trữ ở dạng plaintext và có thể bị bên thứ ba sử dụng để đăng nhập vào máy chủ SSH hoặc giao diện web với đặc quyền quản trị. Các thông tin xác thực được mã hóa cứng cung cấp các bản cập nhật firmware tự động cho các điểm truy cập được kết nối thông qua FTP.

Khoảng 10% trong số 1.000 thiết bị tại Hà Lan sử dụng phiên bản firmware bị ảnh hưởng. Teusink cho biết đây là lỗ hổng nghiêm trọng bởi tương đối dễ khai thác. Tin tặc có thể xâm phạm tính bảo mật, tính toàn vẹn và tính khả dụng của thiết bị.

Danh sách các sản phẩm bị ảnh hưởng

Zyxel dự kiến sẽ giải quyết lỗ hổng trong bộ điều khiển điểm truy cập (AP) của hãng qua bản vá V6.10 Patch1 dự kiến phát hành vào tháng 4/2021. Người dùng được khuyến cáo cài đặt các bản cập nhật firmware cần thiết để giảm thiểu rủi ro mất an toàn thông tin.