Descoberta vulnerabilidade nos dispositivos ZyXel

“Zyfwp,” uma conta de nível de administrador com uma senha codificada, descoberta em vários dispositivos de rede feitos pela ZyXel.

No Natal passado, o pesquisador Niels Teusink, da empresa holandesa EYE, relatou uma vulnerabilidade em equipamentos Zyxel: uma conta de nível de administrador não documentada chamada “zyfwp” com uma senha codificada em vários firewalls de hardware e controladores sem fio. O código do firmware contém a senha, que não é criptografada. Os proprietários são aconselhados a atualizar seu firmware com urgência.

Quais os riscos?

A conta permite que um estranho se conecte ao dispositivo por meio de uma interface da Web ou do protocolo SSH, obtendo acesso de nível de administrador. A conta não pode ser desativada e a senha não pode ser alterada. Em outras palavras, você não pode eliminar a vulnerabilidade modificando as configurações do dispositivo.

Particularmente perigoso, de acordo com Teusink, é o uso de alguns dispositivos da porta 443 para SSL VPN, além de seu uso normal para acesso à interface da web. Assim, em várias redes, a porta está aberta para acesso pela Internet. O acesso remoto aos recursos corporativos tem uma demanda particularmente alta nos dias de hoje, com muitos funcionários em todo o mundo trabalhando em casa durante a pandemia do coronavírus.

O gateway VPN permite que os usuários criem novas contas para acessar recursos dentro do perímetro corporativo. A vulnerabilidade também pode permitir que os invasores reconfigurem o dispositivo e bloqueiem ou interceptem o tráfego.

O pesquisador se absteve de publicar a senha por questões de ética e segurança, mas sua mensagem explica onde encontrá-la, portanto, diversas fontes ligadas à cibersegurança já a tornaram pública. Até mesmo hackers sem muita habilidade conseguem explorar a vulnerabilidade, o que torna a situação particularmente precária.

Quais dispositivos estão vulneráveis?

A vulnerabilidade afeta os dispositivos de firewall para pequenas empresas das séries ATP, USG, USG FLEX e VPN com a versão de firmware ZLD v4.60. A lista completa de modelos que precisam de atualização imediata do firmware, junto com links para patches relevantes, está disponível no site da ZyXel.

A lista de dispositivos vulneráveis também inclui controladores de rede sem fio NXC2500 e NXC5500 com versões de firmware v6.00 a v6.10, mas os patches para eles ainda não estão prontos. ZyXel promete lançamento em 8 de janeiro.

A vulnerabilidade não afeta as versões de firmware mais antigas, mas isso não significa que esses proprietários não tenham nada a temer. O novo firmware foi criado por um motivo – geralmente mais de um – e manter os dispositivos atualizados ajuda a mantê-los seguros.

O que fazer?

Para começar, atualize imediatamente o firmware de qualquer dispositivo vulnerável com os patches disponíveis nos fóruns da ZyXel.

Se nenhum patch estiver disponível para seus dispositivos ainda, monitore os fóruns de perto e faça atualização assim que for publicada
Além disso, recomendamos o reforço da segurança na estação de trabalho. Os computadores dos funcionários precisam ser protegidos antes que um invasor obtenha acesso à rede corporativa.

Dicas