
Backdoor su Dispositivi Zyxel
01/05/2021
Proto: N010121.
Con la presente Yoroi intende informarla riguardo la recente scoperta della presenza di una backdoor all’interno di dispositivi Zyxel, utilizzati in ambito SMB per VPN, firewall e access point wireless.
Ricercatori di sicurezza hanno infatti individuato la presenza di un account con privilegi amministrativi configurato staticamente all’interno dei dispositivi Zyxel con username “zyfwp”. Le credenziali di questo account sono immutabili e pubblicamente note, e permettono ad un attaccante remoto di autenticarsi sui dispositivi sia tramite interfaccia web che tramite SSH.
Figura. Possibile esposizione internet dispositivi Zyxel
Il Vendor ha confermato la problematica e rilasciato un bollettino di sicurezza in cui comunica le versioni afflitte e le patch correttive disponibili:
Firewalls | Patch disponibile |
ATP series con firmware ZLD V4.60 | ZLD V4.60 Patch1, Dicembre 2020 |
USG series con firmware ZLD V4.60 | ZLD V4.60 Patch1, Dicembre 2020 |
USG FLEX series con firmware ZLD V4.60 | ZLD V4.60 Patch1, Dicembre 2020 |
VPN series con firmware ZLD V4.60 | ZLD V4.60 Patch1, Dicembre 2020 |
AP controllers | Patch disponibile |
NXC2500 con firmware V6.00 fino a V6.10 | V6.10 Patch1, 8 Gennaio 2021 |
NXC2500 con firmware V6.00 fino a V6.10 | V6.10 Patch1, 8 Gennaio 2021 |
Considerata l’esposizione internet dei dispositivi afflitti, la potenziale diffusione all’interno di realtà aziendali e la recente diffusione al pubblico dei dettagli di accesso dell’account backdoor, Yoroi raccomanda caldamente di installare al più presto le patch rilasciate dal Vendor, di limitare quanto più possibile l’esposizione internet delle interfacce web e SSH dei dispositivi Zyxel e di valutare la disabilitazione dei privilegi amministrativi dalle sessioni remote.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index