Une porte dérobée codée en dur affecte les équipements Zyxel
L'année 2021 commence mal pour Zyxel : plus de 100 000 équipements sont vulnérables sur Internet à cause d'une porte dérobée secrète, codée en dur dans le firmware des pare-feux et des contrôleurs Wi-Fi.
Niels Teusink, un chercheur en sécurité allemand de la société EYE, a découvert que le firmware des appareils Zyxel contient un compte administrateur codé en dur. Il s'agit du firmware 4.60 Patch 0 de certains firewalls et le firmware de certains contrôleurs Wi-Fi.
Le compte administrateur en question, dont l'identifiant est "zyfwp", n'est pas visible sur l'interface d'administration Zyxel. Néanmoins, ce couple d'identifiants peut être utilisé pour se connecter sur les appareils aussi bien en SSH qu'en mode Web à l'aide d'un navigateur.
Plus grave encore : si l'accès VPN-SSL est actif, votre pare-feu devient accessible depuis l'extérieur puisqu'il s'appuie sur le même port que l'interface d'administration (443) ! Ainsi, Niels Teusink estime qu'il y aurait plus de 100 000 équipements Zyxel accessibles et vulnérables à travers le monde.
C'est une course contre la montre qui a débuté : obtenir un accès sur un équipement Zyxel à l'aide des identifiants de la porte dérobée peut permettre à l'attaquant de créer un autre compte pour obtenir un accès persistant au réseau de l'entreprise ciblée.
Zyxel a réagi et a précisé que ces fameux identifiants inscrits en dur dans le code du firmware sont utilisés pour déployer des mises à jour en automatique via FTP. Zyxel a publié le correctif au travers du firmware 4.60 Patch 1 pour les firewalls vulnérables : Zyxel ATP, Zyxel USG et Zyxel USG Flex. Le correctif V6.10 Patch 1 pour les contrôleurs Wi-Fi Zyxel NXC sera disponible en avril 2021. Si vous utilisez un firmware plus ancien que le 4.60, vous n'êtes pas concerné par cette vulnérabilité.