Pare-feu, passerelles VPN et contrôleurs de point d'accès. Plus de 100 000 produits réseau de Zyxel étaient concernés par une vulnérabilité de sécurité avec une exposition de leur interface web sur internet.
Cette backdoor était un compte utilisateur non documenté avec des droits d'administrateur complets. Avec le nom d'utilisateur z****, il permettait un accès via l'interface web ou SSH. Découvert dans l'un des binaires (le firmware), le mot de passe était codé en dur et en clair.
Un tel compte faisant office de backdoor a été mis au jour par des chercheurs en sécurité de EYE. " Un attaquant pourrait compromettre complètement la confidentialité, l'intégrité et la disponibilité de l'appareil. "
Un compte backdoor trop facilement découvert
Un chercheur de EYE a donné l'exemple d'une modification des paramètres d'un pare-feu pour autoriser ou bloquer du trafic, l'interception de trafic, la création de comptes VPN pou accéder au réseau derrière un appareil.
Il ajoute qu'avec une vulnérabilité de l'acabit de Zerologon, l'effet aurait pu être " dévastateur pour les petites et moyennes entreprises. "
La vulnérabilité a été référencée CVE-2020-29583. D'après le fabricant taïwanais, le compte backdoor avait été créé pour la distribution de mises à jour automatiques de micrologiciels aux points d'accès connectés via FTP.
Zyxel a publié un avis de sécurité en rapport avec ce qui est présenté comme une vulnérabilité d'identifiants codés en dur. Il détaille les produits affectés avec les correctifs déjà disponibles ou à venir.
