Beheer

Security
beveiligingslek

Wachtwoord voor backdoor in Zyxel-netwerkapparatuur nu ook uitgelekt

Veel zakelijke netwerkapparatuur bevat gevaarlijk toegangspunt.

© CC BY 2.0 - Flickr.com Blogtrepreneur
4 januari 2021

Veel zakelijke netwerkapparatuur bevat gevaarlijk toegangspunt.

Onderzoekers van de Nederlandse IT-beveiliger Eye Control hebben in de software van veel Zyxel-netwerkapparatuur een hardgecodeerd backdoor-account ontdekt dat administrator-rechten heeft. Dit is net voor kerst gedeeltelijk geopenbaard en gedeeltelijk gefixt. Het eerder bewust achtergehouden wachtwoord, wat niet valt te wijzigen, ligt nu ook op straat. En nog niet alle getroffen Zyxel-producten hebben een fix gekregen.

De onderzoekers hebben het bestaan van dit account aangekaart bij Zyxel, dat vervolgens een patch heeft gemaakt waardoor het account uit de software onbruikbaar wordt. Het advies van Eye Control is zo snel mogelijk een firmware-upgrade uit te voeren op de kwetsbare netwerkapparatuur. Dit is echter nog niet mogelijk voor alle producten waar de ontdekte backdoor in aanwezig is. De nog resterende netwerkapparaten (WiFi access points in de NXC-serie van Zyxel) krijgen hun patch eind deze week. Eerder stond de planning voor die laatste fix nog op 1 april dit jaar.

Het gaat onder meer om zakelijke apparatuur uit de top van het Zyxel-aanbod, die vooral in gebruik is in bedrijfs- en overheidsnetwerken. Als gevolg van de backdoor hebben aanvallers - variërend van DDoS-botnetbestuurders tot staatsgedreven hackers en ransomwarebendes vrij spel op de betreffende apparatuur en kunnen vandaar hun gang gaan op het interne netwerk. Het gaat in totaal om meer dan 100.000 apparaten die de ingebakken kwetsbaarheid bevatten.

Het backdooraccount is te benaderen met de geruikersnaam "zyfwp" en het wachtwoord "PrOw!aN_fXp", hebben Eye Control-onderzoekers bekend gemaakt. De logingegevens van het account zijn makkelijk te vinden in een van de binairies van het systeem. Volgens Zyxel was het betreffende account bedoeld om automatisch firmware updates te kunnen toepassen via FTP op actieve apparatuur.

Het is niet de eerste keer dat Zyxel op deze manier de fout in gaat, memoreert ZDNet. In 2016 werd ook een backdoor ontdekt in Zyxel-apparatuur die te benaderen was met elke gebruikersnaam in combinatie met het wachtwoord "zyad5001". Dat verhoogde de rechten van de betreffende gebruiker tot toegang tot het root-niveau. In feite gaat het nu om een nog ernstigere fout van het bedrijf. In 2016 moest een aanvaller nog een accountnaam weten van iemand met toegang tot de apparatuur. Nu staan gebruikersnaam en wachtwoord gewoon in platte tekst in de firmware. In 2016 ging het nog vooral om apparatuur bedoeld voor thuisgebruik terwijl deze misser zit in cruciale apparatuur zoals firewalls en routers voor grote netwerken.

Lees meer over
Lees meer over Beheer OP AG Intelligence
1
Reacties
Martyn 04 januari 2021 16:37

Ik snap best dat het wachtwoord plain text in de code staat, het is immers een moeilijk te onthouden wachtwoord, dus heb je al snel de neiging om het ergens te noteren.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.