Søg

Zyxel finder hemmelig bagdørskonto i flere af sine firewall- og VPN-produkter

Den globale producent af netværksenheder, Zyxel, har netop annonceret et patch, der skal lukke en bagdør, der findes i den nyeste version af flere af dets firewall- og VPN-produkter.

6. januar 2021 kl. 11.31
Artikel top billede

(Foto: istockphoto.com)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Zyxel, der er en global producent af netværksenheder, har frigivet en patch til at tackle en kritisk sårbarhed i sin firmware.

Sårbarheden, den skal fikse, handler om en udokumenteret, hemmelig konto, der er kodet direkte ind i kildekoden. Kontoen, der har administrator-rettigheder, kan misbruges af en angriber til at logge ind og kompromittere dens netværksenheder.

Ifølge en forsker fra det tyske sikkerhedsfirma EYE, Niels Teusink, kommer den udokumenterede konto med navnet "zyfwp" med en adgangskode, der ikke kan ændres. I et blogindlæg på EYEs hjemmeside, skriver han:

”Da jeg undersøgte (rooting) på min Zyxel USG40, blev jeg overrasket over at finde en brugerkonto 'zyfwp' med en adgangskode i den nyeste firmwareversion (4.60 patch 0). Almindelig tekstadgangskode var synlig i en af binærfilerne på systemet. Jeg var endnu mere overrasket over, at denne konto syntes at fungere på både SSH og webgrænsefladen."

Zyxel har selv oplyst, at de hard-kodede legitimationsoplysninger blev indført for at levere automatiske firmware-opdateringer til tilsluttede adgangspunkter via FTP-servere (File Transfer Protocol).

Opdatér til nyeste version

Fejlen, der ifølge tech-mediet The Hacker News spores som CVE-2020-29583 (CVSS-score 7.8), påvirker version 4.60, der findes i en lang række Zyxel-enheder.

Niels Teusink, rapporterede om sårbarheden over for Zyxel den 29. november, hvorefter virksomheden udgav en firmwarepatch (ZLD V4.60 Patch1) den 18. december. I indlægget skriver han desuden:

”Jeg tjekkede den tidligere firmwareversion (4.39), og selvom brugeren var til stede, havde den ikke en adgangskode. Det så ud til, at sårbarheden var blevet introduceret i den nyeste firmware-version. Selvom ældre versioner ikke har denne sårbarhed, har de andre (såsom dette bufferoverløb), så du skal stadig opdatere.”

Derfor anbefales det altså stærkt, at brugerne installerer de nødvendige firmwareopdateringer for at mindske risikoen forbundet med fejlen.

Zyxel forventes desuden at tage fat på problemet i sine adgangspunkt-kontroller med en V6.10 Patch1, der er klar til at blive frigivet i april 2021.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Enterprise Architecture Day 2026: Sikker og strategisk suverænitet

    Infrastruktur | Horsens

    Enterprise Architecture Day 2026: Sikker og strategisk suverænitet

    Få ny inspiration til arbejdet med EA – fra sikkerhed og compliance til orkestrering, omkostningsoptimering og cloud governance i en usikker og ustabil tid.

    Executive roundtable: Cyberrobusthed i praksis

    Sikkerhed | Aarhus C

    Executive roundtable: Cyberrobusthed i praksis

    Cyberangreb rammer driften. NIS2 og DORA kræver dokumenteret gendannelse under pres. Få konkret metode til at teste, måle og bevise robusthed på tværs af cloud, SaaS og leverandører. Deltag i lukket roundtable med Commvault og Hitachi.

    Sådan etablerer du digital suverænitet

    Digital transformation | København Ø

    Sådan etablerer du digital suverænitet

    Digital suverænitet afgør kontrol over data, systemer og afhængigheder i Danmark. Computerworld samler Dansk Erhverv og IBM-eksperter om konkrete arkitekturvalg, governance og platforme, der sikrer reel kontrol. Få overblik og handlekraft.

    Se alle vores events inden for it

    Scleroseforeningen

    Digital platform- og integrationsansvarlig

    Københavnsområdet

    Styrelsen for Danmarks Fængsler

    Nye medarbejdere søges til systemforvaltning og forretningsudvikling i Styrelsen for Danmarks Fængsler

    Københavnsområdet

    Operate Technology A/S

    PHP-udvikler til Drupal

    Københavnsområdet

    TV2

    iOS udvikler til TV 2 Teknologi

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. februar 2026 ansat Mads Linné Kaasgaard, 31 år, som Marketing Specialist. Han skal især beskæftige sig med med at løfte Renewtechs brand og kommunikation yderligere ud globalt. Han kommer fra en stilling som Marketing Manager hos Induflex A/S. Han er uddannet fra Aalborg Universitet og har en Cand. Merc. i Sprog & International Virksomhedskommunikation. Nyt job

    Mads Linné Kaasgaard

    Renewtech ApS

    Mark Michaelsen, teknisk systemejer og projektleder hos Aarhus Kommune, har pr. 26. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Mark Michaelsen

    Aarhus Kommune

    netIP har pr. 1. januar 2026 ansat Simon Kramer Sørensen som Key Account Manager ved netIP's kontor i Herning. Han kommer fra en stilling som Business Manager hos Azend A/S og tidligere hos ATEA og ITM8. Nyt job

    Simon Kramer Sørensen

    netIP

    Infosuite A/S har pr. 1. marts 2026 ansat Henrik Sandmann som Chief Operating Officer (COO). Han skal især beskæftige sig med drift, produktudvikling og skalering, herunder også procesforbedringer og udnyttelse af AI og nye teknologier. Han kommer fra en stilling som Program Director hos ADMG ApS. Han er uddannet cand. scient i datalogi og har derudover en MBA indenfor strategi, ledelse og forretningsudvikling. Nyt job

    Henrik Sandmann

    Infosuite A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Stein Bagger trækker igen overskrifter: Computerworld var med helt fremme i afdækningen af IT Factory - her er den dramatiske historie
    2 Nyt gear til de unge: Apple lancerer sin MacBook Neo til denne studievenlige pris
    3 Vi ramte ved siden af og tog fejl: De humanoide robotter er meget tættere på, end vi troede
    4 Test: Helt vildt – denne Windows-laptop holder strøm i mere end 30 timer
    5 Microsoft kan være på trapperne med helt ny model: Du skal betale licens for AI-agenterne som var det medarbejdere
    6 Pc-markedet styrer mod den største krise i mange år: Du skal nok vinke farvel til budget-pc'en
    7 Nvidia stopper med at investere i OpenAI og Anthropic: Spekulationerne er straks begyndt at rejse sig - for forklaringen rejser flere vigtige spørgsmål
    8 Proton Mail-data endte hos FBI: Oplysninger afslørede anonym protestkonto

    Se seneste uge