Søg

Zyxel finder hemmelig bagdørskonto i flere af sine firewall- og VPN-produkter

Den globale producent af netværksenheder, Zyxel, har netop annonceret et patch, der skal lukke en bagdør, der findes i den nyeste version af flere af dets firewall- og VPN-produkter.

6. januar 2021 kl. 11.31
Artikel top billede

(Foto: istockphoto.com)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Zyxel, der er en global producent af netværksenheder, har frigivet en patch til at tackle en kritisk sårbarhed i sin firmware.

Sårbarheden, den skal fikse, handler om en udokumenteret, hemmelig konto, der er kodet direkte ind i kildekoden. Kontoen, der har administrator-rettigheder, kan misbruges af en angriber til at logge ind og kompromittere dens netværksenheder.

Ifølge en forsker fra det tyske sikkerhedsfirma EYE, Niels Teusink, kommer den udokumenterede konto med navnet "zyfwp" med en adgangskode, der ikke kan ændres. I et blogindlæg på EYEs hjemmeside, skriver han:

”Da jeg undersøgte (rooting) på min Zyxel USG40, blev jeg overrasket over at finde en brugerkonto 'zyfwp' med en adgangskode i den nyeste firmwareversion (4.60 patch 0). Almindelig tekstadgangskode var synlig i en af binærfilerne på systemet. Jeg var endnu mere overrasket over, at denne konto syntes at fungere på både SSH og webgrænsefladen."

Zyxel har selv oplyst, at de hard-kodede legitimationsoplysninger blev indført for at levere automatiske firmware-opdateringer til tilsluttede adgangspunkter via FTP-servere (File Transfer Protocol).

Opdatér til nyeste version

Fejlen, der ifølge tech-mediet The Hacker News spores som CVE-2020-29583 (CVSS-score 7.8), påvirker version 4.60, der findes i en lang række Zyxel-enheder.

Niels Teusink, rapporterede om sårbarheden over for Zyxel den 29. november, hvorefter virksomheden udgav en firmwarepatch (ZLD V4.60 Patch1) den 18. december. I indlægget skriver han desuden:

”Jeg tjekkede den tidligere firmwareversion (4.39), og selvom brugeren var til stede, havde den ikke en adgangskode. Det så ud til, at sårbarheden var blevet introduceret i den nyeste firmware-version. Selvom ældre versioner ikke har denne sårbarhed, har de andre (såsom dette bufferoverløb), så du skal stadig opdatere.”

Derfor anbefales det altså stærkt, at brugerne installerer de nødvendige firmwareopdateringer for at mindske risikoen forbundet med fejlen.

Zyxel forventes desuden at tage fat på problemet i sine adgangspunkt-kontroller med en V6.10 Patch1, der er klar til at blive frigivet i april 2021.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Teaser billede

    Annonceindlæg tema

    Forsvar & beredskab

    Cybersikkerhed, realtidsdata og robuste it-systemer er blevet fundamentet for moderne forsvar.

    TV2

    Android App Developer til TV 2

    Københavnsområdet

    KMD A/S

    Technical Solutions Architect

    Københavnsområdet

    Edlund A/S

    Senior Developer

    Københavnsområdet

    AK Techotel A/S

    Systemudvikler søges til innovativt firma

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Forte Advice har pr. 5. januar 2026 ansat Claes Frederiksen som Commercial Director. Claes skal især beskæftige sig med at løfte den kommercielle modenhed i teknologiprojekter og sikre, at teknologi bliver brugt som strategisk løftestang. Claes kommer fra en stilling som Senior Client Partnership Director, Nordics hos Valtech. Claes har tidligere beskæftiget sig med teknologivalg og platformstrategi til teknologidrevet forretningsudvikling og marketing initiativer. Nyt job

    Claes Frederiksen

    Forte Advice

    inciro K/S har pr. 1. februar 2026 ansat Lasse Fletcher som Cloud Consultant. Han skal især beskæftige sig med Governance og struktur i cloud miljøer. Han kommer fra en stilling som IT Tekniker hos CBrain A/S. Han er uddannet datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kunde onboarding, Identitets styring, sikkerhed og IaC. Nyt job

    Lasse Fletcher

    inciro K/S

    Idura har pr. 1. december 2025 ansat Anders Høiberg Michaelsen, 29 år, som software engineer. Han skal især beskæftige sig med kodning og integration med eID-udbydere som MitID og norsk BankID. Han kommer fra en stilling som programmør og systemudvikler hos Teal Nordic. Han er uddannet diplomingeniør i softwareteknologi fra DTU. Han har tidligere beskæftiget sig med bl.a. at lave open source projekter til at hjælpe andre udviklere med at samle information hurtigt. Nyt job

    Anders Høiberg Michaelsen

    Idura

    netIP har pr. 1. januar 2026 ansat Simon Kramer Sørensen som Key Account Manager ved netIP's kontor i Herning. Han kommer fra en stilling som Business Manager hos Azend A/S og tidligere hos ATEA og ITM8. Nyt job

    Simon Kramer Sørensen

    netIP

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Nordea fyrer 93 danske it-ansatte - skærer ned i hele sin it-afdeling i Norden
    2 AI.com solgt i største domæne-handel nogensinde: Sælgeren var heldig - købte alene domænet på grund af sit navn
    3 Efter 20 år er Microsoft på vej til at trække stikket på vigtig Exchange-feature: Lukkes ned inden længe
    4 Jorden begynder at brænde under Oracle og andre af verdens rigeste it-selskaber i verdenshistoriens største oprustnings-kapløb
    5 Samsungs markedsværdi buldrer i vejret efter AI-rygter
    6 Morgen-briefing: Ny topchef til Deloitte - Christian Jensby fratræder / Proshop lander omsætning på 4,5 milliarder kroner / Danske nyhedsmedier trækker LinkedIn i retten
    7 Nørgaard: Ansæt nu bare de unge - så kan det ikke gå helt galt
    8 Nu kan harddisken gøre comeback: To nye teknologier er game-changers for de roterende skiver

    Se seneste uge