Bezpečnost | Síť | Zyxel

Zyxel má v zařízeních nepochopitelnou díru. Síť je kvůli ní napadnutelná i zvenčí

Niels Teusink z nizozemské bezpečností společnosti Eye objevil kritickou zranitelnost v síťových prvcích firmy Zyxel. Chyba s označením CVE-2020-29583 otevřela vrátka do firewallů a bran řad ATP, USG, USG FLEX a VPN s firmwarem v4.60 a NXC s firmwarem v6.10. Pro první čtyři řady už vyšla oprava (v4.60 Patch 1), aktualizace pro sérii NXC vyjde až 8. ledna.

Expert objevil tzv. backdoor account. Ve zmíněných firmwarech byl pevně zapsán administrátorský účet neviditelný v běžné administraci. V souborech ale šlo přečíst uživatelské jméno „zyfwp“ a heslo „PrOw!aN_fXp“, které otevřely veškeré nastavení komukoliv, kdo o zranitelnosti věděl.

Podle Zyxelu šlo o účet určený pro automatickou aktualizaci firmwaru přes FTP. Údaje ale bylo možné použít také pro přihlášení přes webovou administraci i SSH, takže síť mohla být kompromitována i vzdáleně.

Společnost Eye pomocí Projectu Sonar zjistila, že ohrožených zařízení je přes 100 tisíc. Reálně to může být více, ne všechny totiž mají otevřený vzdálený přístup. Avšak rozsáhlejšímu rozšíření zase brání fakt, že Zyxel nemá standardně aktivní automatické aktualizace.

Jak upozorňuje ZDNet, Zyxel se již v podobnou chybou potýkal i v minulosti. v roce 2016 experti objevili chybu, která jakýkoliv účet mohla povýšit na administrátorský. Spolu s tím, jak uživatelé nemění přihlašovací údaje (standardně admin/1234) udělalo z routerů Zyxelu snadnou oběť několika botnetů.

Co byste měli vědět o českých routerech Turris Mox a Omnia?

Diskuze (29) Další článek: Chytré náramky do 2 000 Kč: Test levných pomocníků, které vás donutí se hýbat

Témata článku: Bezpečnost, Router, VPN, Wi-Fi, Síť, Zyxel, USG, Firmware, Zranitelnost, Turris mox, Administrace, SSH, CVE, Díra, Automatická aktualizace, Atp, Eye


Určitě si přečtěte

Pozor na tyto doplňky pro Chrome a Edge. Mohou obsahovat malware, varuje Avast
Jakub Čížek
MalwareProhlížeče
Google chystá funkci, která z chytrého Gmailu udělá hloupý Gmail
Lukáš Václavík
SoukromíGmailGoogle
Lidl buduje chytrou domácnost, propojí všechno se vším
Lukáš Václavík
LidlChytrá domácnostIoT
Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

** Tipy na užitečné příslušenství k počítačům ** Poradíme, s jakými produkty neuděláte chybu ** Některé z věcí mohou být dobrými vánočními dárky

David Polesný, Stanislav Janů | 20

David PolesnýStanislav Janů
Příslušenství
Elon Musk podpořil Signal jako náhradu WhatsAppu. Aplikaci okamžitě zavalili uživatelé
Markéta Mikešová
WhatsAppElon MuskFacebook
Uživatelé hlásí problémy s jednou z listopadových záplat pro Windows 10
Karel Kilián
Windows UpdateAktualizaceWindows 10
Zapomeňte na destičky. Raspberry Pi 400 je nový počítač zabudovaný do klávesnice
Lukáš Václavík
Raspberry PiPočítače
Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme stavebnice pro malé caparty i budoucí experty

Jakub Čížek | 10

Jakub Čížek
Stavebnice

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5