Sản phẩm tường lửa và VPN của Zyxel tồn tại tài khoản backdoor bí mật

Đầu năm 2021, Zyxel phát hành bản vá giải quyết một lỗ hổng nghiêm trọng trong firmware của hãng liên quan đến một tài khoản bí mật được mã hóa cứng. Lỗ hổng có thể bị kẻ tấn công lợi dụng để đăng nhập với đặc quyền quản trị và xâm phạm các thiết bị mạng của Zyxel.

​

Lỗ hổng CVE-2 020-29583 (điểm CVSS 7,8) ảnh hưởng đến phiên bản 4.60 trong một loạt các thiết bị Zyxel, bao gồm USG, USG FLEX, ATP và các sản phẩm tường lửa VPN.
Nhà nghiên cứu Niels Teusink của EYE đã báo cáo lỗ hổng cho Zyxel vào ngày 29/11/2020. Sau đó, Zyxel đã phát hành bản vá firmware (ZLD V4.60 Patch1) ngày 18/12/2020.
Zyxel khuyến cáo tài khoản bí mật này ("zyfwp") đi kèm với một mật khẩu không thể thay đổi ("PrOw!AN_fXp") được lưu trữ ở dạng plaintext và có thể bị một bên thứ ba sử dụng để đăng nhập vào máy chủ SSH hoặc giao diện web với đặc quyền quản trị.
Zyxel cho hay các thông tin xác thực được mã hóa cứng cung cấp các bản cập nhật firmware tự động cho các điểm truy cập được kết nối thông qua FTP.
Khoảng 10% trong số 1.000 thiết bị ở Hà Lan chạy phiên bản firmware bị ảnh hưởng. Teusink cho biết đây là lỗ hổng nghiêm trọng bởi tương đối dễ khai thác. Tin tặc có thể xâm phạm tính bảo mật, tính toàn vẹn và tính khả dụng của thiết bị.

Danh sách các sản phẩm bị ảnh hưởng​

"Ai đó có thể thay đổi cài đặt tường lửa để cho phép hoặc chặn một số lưu lượng nhất định. Họ cũng có thể chặn lưu lượng truy cập hoặc tạo tài khoản VPN để truy cập vào mạng phía sau thiết bị. Nếu kết hợp với lỗ hổng như Zerologon, lỗ hổng này có thể tàn phá các doanh nghiệp vừa và nhỏ", Teusink nói thêm.
Zyxel dự kiến sẽ giải quyết lỗ hổng trong bộ điều khiển điểm truy cập (AP) của hãng qua bản vá V6.10 Patch1 dự định phát hành vào tháng 4 năm 2021.
Người dùng được khuyến cáo cài đặt các bản cập nhật firmware cần thiết để giảm thiểu rủi ro liên quan đến lỗ hổng.

Nguồn: The Hacker News​