Backdoor su Dispositivi Zyxel

Proto: N010121.

Con la presente Yoroi intende informarla riguardo la recente scoperta della presenza di una backdoor all’interno di dispositivi Zyxel, utilizzati in ambito SMB per VPN, firewall e access point wireless.

Ricercatori di sicurezza hanno infatti individuato la presenza di un account con privilegi amministrativi configurato staticamente all’interno dei dispositivi Zyxel con username “zyfwp”. Le credenziali di questo account sono immutabili e pubblicamente note, e permettono ad un attaccante remoto di autenticarsi sui dispositivi sia tramite interfaccia web che tramite SSH. 

Figura. Possibile esposizione internet dispositivi Zyxel

Il Vendor ha confermato la problematica e rilasciato un bollettino di sicurezza in cui comunica le versioni afflitte e le patch correttive disponibili:

Considerata l’esposizione internet dei dispositivi afflitti, la potenziale diffusione all’interno di realtà aziendali e la recente diffusione al pubblico dei dettagli di accesso dell’account backdoor,  Yoroi raccomanda caldamente di installare al più presto le patch rilasciate dal Vendor, di limitare quanto più possibile l’esposizione internet delle interfacce web e SSH dei dispositivi Zyxel e di valutare la disabilitazione dei privilegi amministrativi dalle sessioni remote.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index