CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: istockphoto.com)

Zyxel finder hemmelig bagdørskonto i flere af sine firewall- og VPN-produkter

Den globale producent af netværksenheder, Zyxel, har netop annonceret et patch, der skal lukke en bagdør, der findes i den nyeste version af flere af dets firewall- og VPN-produkter.

6. januar 2021 kl. 11.31
Ditte Vinterberg Weng Ditte Vinterberg Weng

Zyxel, der er en global producent af netværksenheder, har frigivet en patch til at tackle en kritisk sårbarhed i sin firmware.

Sårbarheden, den skal fikse, handler om en udokumenteret, hemmelig konto, der er kodet direkte ind i kildekoden. Kontoen, der har administrator-rettigheder, kan misbruges af en angriber til at logge ind og kompromittere dens netværksenheder.

Ifølge en forsker fra det tyske sikkerhedsfirma EYE, Niels Teusink, kommer den udokumenterede konto med navnet "zyfwp" med en adgangskode, der ikke kan ændres. I et blogindlæg på EYEs hjemmeside, skriver han:

”Da jeg undersøgte (rooting) på min Zyxel USG40, blev jeg overrasket over at finde en brugerkonto 'zyfwp' med en adgangskode i den nyeste firmwareversion (4.60 patch 0). Almindelig tekstadgangskode var synlig i en af binærfilerne på systemet. Jeg var endnu mere overrasket over, at denne konto syntes at fungere på både SSH og webgrænsefladen."

Zyxel har selv oplyst, at de hard-kodede legitimationsoplysninger blev indført for at levere automatiske firmware-opdateringer til tilsluttede adgangspunkter via FTP-servere (File Transfer Protocol).

Opdatér til nyeste version

Fejlen, der ifølge tech-mediet The Hacker News spores som CVE-2020-29583 (CVSS-score 7.8), påvirker version 4.60, der findes i en lang række Zyxel-enheder.

Niels Teusink, rapporterede om sårbarheden over for Zyxel den 29. november, hvorefter virksomheden udgav en firmwarepatch (ZLD V4.60 Patch1) den 18. december. I indlægget skriver han desuden:

”Jeg tjekkede den tidligere firmwareversion (4.39), og selvom brugeren var til stede, havde den ikke en adgangskode. Det så ud til, at sårbarheden var blevet introduceret i den nyeste firmware-version. Selvom ældre versioner ikke har denne sårbarhed, har de andre (såsom dette bufferoverløb), så du skal stadig opdatere.”

Derfor anbefales det altså stærkt, at brugerne installerer de nødvendige firmwareopdateringer for at mindske risikoen forbundet med fejlen.

Zyxel forventes desuden at tage fat på problemet i sine adgangspunkt-kontroller med en V6.10 Patch1, der er klar til at blive frigivet i april 2021.




Navnenyt fra it-danmarkVis alle »
Vickie M. Enevold Nielsen
Vickie M. Enevold Nielsen
Ulf Molich
Ulf Molich
Rickard Hohenthal
Rickard Hohenthal
Casper Andersen
Casper Andersen

Malte Helin Johnsen
Malte Helin Johnsen
Dilan Ozmen
Dilan Ozmen
Andreas Daneville
Andreas Daneville
Kurt Friis Jensen
Kurt Friis Jensen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Cyber Security Summit 2025: Her er truslerne – og sådan beskytter du dine kritiske data

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

19. august 2025 | Læs mere

Cyber Security Summit 2025 i Jylland

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

21. august 2025 | Læs mere

AI i det offentlige: Potentiale, erfaringer og krav

Hør erfaringerne med at anvende AI til at transformere og effektivisere processer i det offentlige – og med at sikre datakvalitet, governance og overholdelse af retningslinjer.

27. august 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Steffen Friis
Steffen Friis
Lars Jacobsen
Lars Jacobsen
Mogens Nørgaard
Mogens Nørgaard
Martin Fagerland
Martin Fagerland
Josefin Rosén
Josefin Rosén
Petter Glenstrup
Petter Glenstrup
Mogens Nørgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Pyha - verden er altså stadig et godt sted med få problemer, ikke omvendt
Læs indlæg
Artikel teaser billede

Steffen Friis

Derfor bør du aldrig satse på standardløsninger, når det gælder cybersikkerheden

Artikel teaser billede

Lars Jacobsen

Den nye kæmpeaftale mellem EU og USA løser ikke Danmarks største it-problem lige nu

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Nets fik igen problemer med sin Single-Point-Of-Failure IT-strategi - og ingen er overraskede. Som i overhovedet ikke.

Artikel teaser billede

Martin Fagerland

Danmark skal tage aktivt ejerskab over EU’s nye sårbarhedsdatabase

Mest læste klummer og blogs
Nørgaard: Nets fik igen problemer med sin Single-Point-Of-Failure IT-strategi - og ingen er overraskede. Som i overhovedet ikke.
Fra rige texanere og motoriserede hobbyknive til Storebælts-fiasko og AI-interviews: Et par iagttagelser fra Dripping Springs og resten af tech-verdenen.
Af: Mogens Nørgaard
Nørgaard: Pyha - verden er altså stadig et godt sted med få problemer, ikke omvendt
Jeg har set med mine egne øjne, at amerikanerne stadig er høflige, venlige og hjælpsomme. Som altid er det umuligt for en almindelig dødelig at komme i alle de der forfærdelige, frygtelige, farlige og åndssvage situationer, som man kan læse om hele tiden i medierne.
Af: Mogens Nørgaard
Derfor bør du aldrig satse på standardløsninger, når det gælder cybersikkerheden
Klumme: Konsekvenserne af et databrud er for alvorlige til at lade sig nøje med en hyldevare.
Af: Steffen Friis
Lars Jacobsen
opinion
Lars Jacobsen
Den nye kæmpeaftale mellem EU og USA løser ikke Danmarks største it-problem lige nu
opinion Josefin Rosén
Byg tillid med agentisk AI: Her er seks principper der sætter mennesket forrest
Læs indlæg

Premium
Teaser billede
Er dit job på listen? Disse 40 job er mest truet af AI
Læs mere »
ChatGPT slået af tronen: Ikke længere virksomhedernes foretrukne AI-værktøj
Nvidias danske afdeling boomer: Over 100 ansatte og fordoblet overskud
Dropbox lukker sin passwordmanager: Brugere skal hente adgangskoder, inden de bliver slettet
Se alle »
Computerworld
Teaser billede
Din iPad bliver nu (næsten) en Mac - men Apple insisterer på, at den stadig er en iPad
Læs mere »
Microsoft stopper support til Windows 11-version om få måneder
Amazon er verdens næststørste private arbejdsgiver: Overgåes kun af et selskab på jorden
Hacker-grupper rammer kendt flyselskab med koordineret angreb
Se alle »
CIO
Teaser billede
Jonas Frank Johannesen fratræder som it-direltør i Velux efter 'konstruktiv dialog' med sin chef
Læs mere »
Microsoft dropper support af M365-programmer, der er installeret gennem Microsoft Store: Se om din version bliver forældet
Europæiske cloud-udbydere kræver Broadcoms opkøb af VMware annulleret: Hiver EU-Kommissionen i retten
Microsoft-chef under ed: Ingen garanti for, at europæriske data ikke udleveres til USA
Se alle »
Job & Karriere
Teaser billede
Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
Læs mere »
Itm8 fyrer: Opsiger ansatte og reorganiserer
Lille dansk it-virksomhed fra Vanløse lander drømmekontrakt, der rækker langt ind i stifterens pension
Larry Ellison er blevet 165 milliarder kroner rigere på få timer: Er nu pludselig verdens næstrigeste mand
Se alle »
White paper
Teaser billede
Undgå at printeren bliver svageste led i sikkerheden
Læs mere »
Få reel viden om datasuverænitet og tag selv kontrollen
Revolutionér kundeoplevelsen med AI og automatisering
AI og kunderejsen: Sådan vinder du fremtidens forbrugere
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »