Søg

Zyxel finder hemmelig bagdørskonto i flere af sine firewall- og VPN-produkter

Den globale producent af netværksenheder, Zyxel, har netop annonceret et patch, der skal lukke en bagdør, der findes i den nyeste version af flere af dets firewall- og VPN-produkter.

6. januar 2021 kl. 11.31
Artikel top billede

(Foto: istockphoto.com)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Zyxel, der er en global producent af netværksenheder, har frigivet en patch til at tackle en kritisk sårbarhed i sin firmware.

Sårbarheden, den skal fikse, handler om en udokumenteret, hemmelig konto, der er kodet direkte ind i kildekoden. Kontoen, der har administrator-rettigheder, kan misbruges af en angriber til at logge ind og kompromittere dens netværksenheder.

Ifølge en forsker fra det tyske sikkerhedsfirma EYE, Niels Teusink, kommer den udokumenterede konto med navnet "zyfwp" med en adgangskode, der ikke kan ændres. I et blogindlæg på EYEs hjemmeside, skriver han:

”Da jeg undersøgte (rooting) på min Zyxel USG40, blev jeg overrasket over at finde en brugerkonto 'zyfwp' med en adgangskode i den nyeste firmwareversion (4.60 patch 0). Almindelig tekstadgangskode var synlig i en af binærfilerne på systemet. Jeg var endnu mere overrasket over, at denne konto syntes at fungere på både SSH og webgrænsefladen."

Zyxel har selv oplyst, at de hard-kodede legitimationsoplysninger blev indført for at levere automatiske firmware-opdateringer til tilsluttede adgangspunkter via FTP-servere (File Transfer Protocol).

Opdatér til nyeste version

Fejlen, der ifølge tech-mediet The Hacker News spores som CVE-2020-29583 (CVSS-score 7.8), påvirker version 4.60, der findes i en lang række Zyxel-enheder.

Niels Teusink, rapporterede om sårbarheden over for Zyxel den 29. november, hvorefter virksomheden udgav en firmwarepatch (ZLD V4.60 Patch1) den 18. december. I indlægget skriver han desuden:

”Jeg tjekkede den tidligere firmwareversion (4.39), og selvom brugeren var til stede, havde den ikke en adgangskode. Det så ud til, at sårbarheden var blevet introduceret i den nyeste firmware-version. Selvom ældre versioner ikke har denne sårbarhed, har de andre (såsom dette bufferoverløb), så du skal stadig opdatere.”

Derfor anbefales det altså stærkt, at brugerne installerer de nødvendige firmwareopdateringer for at mindske risikoen forbundet med fejlen.

Zyxel forventes desuden at tage fat på problemet i sine adgangspunkt-kontroller med en V6.10 Patch1, der er klar til at blive frigivet i april 2021.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Årets CIO 2026

    Event: Årets CIO 2026

    Andre events | København

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    4. juni 2026 | Gratis deltagelse

    Netcompany A/S

    IT Consultant

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Sektionschef for materielstamdata i FMI i Ballerup

    Københavnsområdet

    Netcompany A/S

    Microsoft Operations Engineer

    Midtjylland

    KMD A/S

    Product Owner / Product Manager

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Idura har pr. 15. januar 2026 ansat Mark-Oliver Junge, 26 år, som software engineer. Han skal især beskæftige sig med at udvikle nye extensions, der gør godkendelsesprocesser mere fleksible, samt bygge infrastruktur til caller authentication. Han kommer fra en stilling som fullstack engineer hos Wayfare.ai. Han er uddannet Fachinformatiker für Anwendungsentwicklung, der betyder “ekspert i softwareudvikling”. Han har tidligere beskæftiget sig med udvikling af softwarearkitektur, DevOps og rammeværk til analyse + orkestrering af SQL-datapipelines. Nyt job

    Mark-Oliver Junge

    Idura

    Lector ApS har pr. 5. januar 2026 ansat Per Glentvor som Seniorkonsulent i LTS-gruppen. Per skal især beskæftige sig med med videreudvikling af Lectors løsning til automatisering og forenkling af toldprocesser. Per kommer fra en stilling som freelancekonsulent. Per har tidligere beskæftiget sig med løsninger indenfor trading, løsninger til detail, mobil samt logistik. Nyt job

    Per Glentvor

    Lector ApS

    Immeo har pr. 1. februar 2026 ansat Patricia Oczki som Marketing Manager. Hun kommer fra en stilling som Head of Marketing and Communication hos Coach Solutions. Nyt job

    Patricia Oczki

    Immeo

    Adeno K/S har pr. 2. februar 2026 ansat Kia Harding Martinussen som ServiceNow Expert. Hun kommer fra en stilling som Principal Consultant hos Devoteam A/S. Nyt job

    Kia Harding Martinussen

    Adeno K/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Test: Du får rigtigt meget for pengene, hvis du tør tage chancen med denne lille danske headset-producent
    2 Dansk top-profil: Den danske stat vil inden længe blive nødt til at overtage ejerskabet af vigtige it-teknologier
    3 Har udviklet helt ny teknik: Data lagret i almindeligt glas kan holde i 10.000 år - kan løse stort og dyrt problem
    4 Microsoft Danmark indsætter ny direktør: To direktører forlader selskabet
    5 Nørgaard: Derfor vil der altid mangle mødelokaler i dit liv
    6 Nye stramme sikkerhedsregler for statens ansatte: Skal nu destruere rejse-pc’er efter ophold i udlandet
    7 Svensk militærofficer fik stjålet arbejdscomputer til Nato-møde: Tyven anklages for russisk spionage
    8 Fejl i ny Windows-opdatering: Systemer på stribe sætter ud

    Se seneste uge