Zyxel Communications издадоха обновление по сигурността, адресирайки критична уязвимост, засягаща над 100 000 техни устройства, предава Silicon Angle.

В края на миналата година, ZDNet цитираха доклад на разработчик от холандската компания за киберсигурност Eye Control, в който се посочва, че в софтуера на мрежовите устройства на компанията има вграден скрит акаунт, който притежава администраторско ниво на достъп. Въпросната слабост, посочват в доклада си специалистите, може да предостави на злонамерена страна пълен достъп до устройството чрез SSH връзка или администраторския уеб панел.

В края на декември, Нилс Тойсинк от Eye Control, съобщава в блога на компанията, че е открил в своя Zyxel USG40 скрит акаунт с името zyfwp и парола в незащитен формат, която не може да се променя. Тойсинк открива, че уязвимостта в устройствата е била представена с последното обновление на фърмуера (4.60 patch 0) на устройството.

„Поради това, че zyfwp притежава администраторски привилегии, това е сериозна уязвимост“, пише той. „Атакуваща страна може да компрометира напълно конфиденциалността, интегритета и достъпността на устройството. Някой може например да промени настройките на защитната стена, за да позволи или блокира определен трафик. Те могат също така да пресекат трафика или създадат VPN акаунти, за да получат достъп до мрежата зад устройството“.

„Използвайки публично достъпна информация от Project Sonat, аз успях да идентифицирам около 3000 засегнати USG/ATP/VPN устройства на Zyxel в Нидерландия. Глобално, повече от 100 000 устройства са изложените на открития интернет“, пише Тойсинк. Скоро след откритието си, той уведомява хората от Zyxel за откритата в устройствата уязвимост. От компанията му отговарят, че въпросният акаунт е създаден специално за доставянето на обновления към фърмуера за точки за достъп посредством FTP. Скоро след доклада му, Zyxel издават обновление за слабостта в устройствата и съответния бюлетин, описващ проблема, който вече е решен с нова версия на фърмуера.

5 1 глас
Оценете статията
Абонирай се
Извести ме за
guest
2 Коментара
стари
нови оценка
Отзиви
Всички коментари