Zyxel: backdoor minder ernstig in later gepatchte producten

"De kwetsbaarheid raakt de firewalls en AP-controllers [WiFi Access Points - red.] op verschillende manieren, onder dezelfde CVE", laat de Taiwanese woordvoerster van Zyxel weten. Zij antwoordt op vragen van AG Connect over de backdoor die Zyxel zelf heeft ingebouwd in recente firmware voor sommige van zijn netwerkapparaten. Dit hardcoded en verborgen beheerdersaccount komt compleet met wachtwoord in plaintext van een deel van de firmware.

Verantwoorde melding

De aanwezigheid van deze geheime ingang met vergaande beheerdersrechten is ontdekt door de Nederlandse security-onderzoeker Niels Teusink van EYE Control. Dat bedrijf is opgericht door voormalige medewerkers van de AIVD en MIVD. Teusink is voorheen in dienst geweest bij securityspecialist Fox-IT.

Zyxel heeft na de verantwoorde melding eind november door de ontdekker snel maatregelen genomen om de zelf aangebrachte backdoor weer te verwijderen. Het verborgen beheeraccount was bedoeld om via bestandsprotocol FTP automatisch firmware-updates te bezorgen bij Zyxel-apparaten. Opvallend is dat het uitbrengen van patches niet over de hele linie van kwetsbare apparaten is gedaan.

Maanden later

Firewalls in Zyxels ATP- en USG-reeksen plus VPN-controllers hebben in december fixes gekregen, maar de WLAN-controllers in de NXC-reeks nog niet. Laatstgenoemden stonden oorspronkelijk in de planning om op 1 april de fix te krijgen, maar dat is naar voren gehaald. Volgens het op 4 januari bijgewerkte patchplan komt die fix vandaag uit. Zyxel heeft vragen van AG Connect hierover beantwoord met de uitleg dat de backdoor in de draadloze access points minder ernstig is.

Ondanks het feit dat het wachtwoord hardcoded was in de firmware, had het geheime beheerdersaccount "beperkte privilege", aldus de woordvoerster in Taiwan. Dit betreft de betreffende AP-controllers die firmware-versie 6.00 tot en met 6.10 draaien. De beperking qua rechten komt erop neer dat de backdoor alleen toegang geeft tot één specifieke bestandslocatie op de WLAN-controller: de map die de firmware voor het access point bevat. "Aangezien de ernst [van de kwetsbaarheid - red.] kleiner is AP-controllers, zijn hun patches gepland voor latere beschikbaarheid."

'Verwarring bij klanten'

Het bijna 3 maanden eerder uitbrengen van de fix voor de WLAN-controllers is volgens Zyxel ingegeven door 'verwarring bij klanten'. Zyxel heeft berichten van meerdere klanten gekregen die verward waren over de verschillende mate van ernst van de kwetsbaarheid voor verschillende producten. Naar aanleiding daarvan heeft Zyxel besloten om "al onze middelen te prioriteren om de patch eerder uit te brengen voor AP-controllers (ook al is de ernst veel kleiner) om klanten gerust te stellen en om verdere verwarring te vermijden".

De woordvoerster voegt nog toe dat Zyxel security altijd als topprioriteit behandeld en dat het nauw samenwerkt met security-onderzoekers om patches uit te brengen zo vroeg als het bedrijf maar kan. Verder doet Zyxel het verzoek aan media om het uitgelekte en niet te wijzigen wachtwoord, wat het zelf in plaintext in zijn firmware heeft geplaatst, "om ethische redenen" niet te vermelden.

Wachtwoord van internet af halen

Indien het wachtwoord al is gepubliceerd, vraagt Zyxel om die openbaarmaking ongedaan te maken. Volgens de woordvoerster in Taiwan hebben veel journalisten hier al gehoor aan gegeven, waaronder The Hacker News en TechRadar. Dit geldt echter niet voor bijvoorbeeld tweets van sommige van deze media en van security-onderzoekers.

Ook wordt het hardcoded wachtwoord nog vermeld op nieuwsoverzichtssites, contentaggregeerders, archiveringssites en blogs van bekende beveiligingsexperts zoals Bruce Schneier. Ontdekker Teusink van EYE Control heeft in zijn openbaarmaking het wachtwoord slechts gedeeltelijk blootgegeven. Ondertussen hebben aanvallers zich al gestort op deze backdoor in netwerkapparaten van Zyxel.