Zyxel ferme une importante porte dérobée dans ses produits

Le constructeur taiwanais, spécialisé dans les produits réseau, a publié le 18 décembre un firmware corrigé pour bon nombre de ses produits, incluant Unified Security Gateway (USG), USG FLEX, ATP ou encore ses pare-feux.

Dans le détail, Zyxel n’en ressort pas grandi. La faille – CVE-2020-29583 – était en effet volontaire, provenant d’un compte secret (« zyfwp »), malheureusement accompagné de droits administrateurs et surtout d’un mot de passe non modifiable car codé « en dur » dans les produits (« PrOw!aN_fXp »).

Mais pourquoi un tel compte ? Selon le constructeur, il n’était présent que pour assurer la distribution automatique des firmwares aux points d’accès connectés à travers FTP. Pour le chercheur en sécurité Niels Teusink qui a rapporté la brèche à Zyxel le 29 novembre, il s’agit très clairement d’une vulnérabilité critique : « un pirate pourrait compromettre complètement la confidentialité, l’intégrité et la disponibilité de l’appareil ».

Il détaille : « Quelqu’un pourrait par exemple modifier les paramètres du pare-feu pour autoriser ou bloquer un certain trafic. Ils pourraient également intercepter du trafic ou créer des comptes VPN pour obtenir un accès au réseau derrière l’appareil. Combiné avec une vulnérabilité comme Zerologon, ce pourrait être dévastateur pour les petites et moyennes entreprises », faisant référence à une importante faille de Windows Server découverte il y a quelques mois.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !