Søg

Zyxel finder hemmelig bagdørskonto i flere af sine firewall- og VPN-produkter

Den globale producent af netværksenheder, Zyxel, har netop annonceret et patch, der skal lukke en bagdør, der findes i den nyeste version af flere af dets firewall- og VPN-produkter.

06. januar 2021 kl. 11.31
Artikel top billede

(Foto: istockphoto.com)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Zyxel, der er en global producent af netværksenheder, har frigivet en patch til at tackle en kritisk sårbarhed i sin firmware.

Sårbarheden, den skal fikse, handler om en udokumenteret, hemmelig konto, der er kodet direkte ind i kildekoden. Kontoen, der har administrator-rettigheder, kan misbruges af en angriber til at logge ind og kompromittere dens netværksenheder.

Ifølge en forsker fra det tyske sikkerhedsfirma EYE, Niels Teusink, kommer den udokumenterede konto med navnet "zyfwp" med en adgangskode, der ikke kan ændres. I et blogindlæg på EYEs hjemmeside, skriver han:

”Da jeg undersøgte (rooting) på min Zyxel USG40, blev jeg overrasket over at finde en brugerkonto 'zyfwp' med en adgangskode i den nyeste firmwareversion (4.60 patch 0). Almindelig tekstadgangskode var synlig i en af binærfilerne på systemet. Jeg var endnu mere overrasket over, at denne konto syntes at fungere på både SSH og webgrænsefladen."

Zyxel har selv oplyst, at de hard-kodede legitimationsoplysninger blev indført for at levere automatiske firmware-opdateringer til tilsluttede adgangspunkter via FTP-servere (File Transfer Protocol).

Opdatér til nyeste version

Fejlen, der ifølge tech-mediet The Hacker News spores som CVE-2020-29583 (CVSS-score 7.8), påvirker version 4.60, der findes i en lang række Zyxel-enheder.

Niels Teusink, rapporterede om sårbarheden over for Zyxel den 29. november, hvorefter virksomheden udgav en firmwarepatch (ZLD V4.60 Patch1) den 18. december. I indlægget skriver han desuden:

”Jeg tjekkede den tidligere firmwareversion (4.39), og selvom brugeren var til stede, havde den ikke en adgangskode. Det så ud til, at sårbarheden var blevet introduceret i den nyeste firmware-version. Selvom ældre versioner ikke har denne sårbarhed, har de andre (såsom dette bufferoverløb), så du skal stadig opdatere.”

Derfor anbefales det altså stærkt, at brugerne installerer de nødvendige firmwareopdateringer for at mindske risikoen forbundet med fejlen.

Zyxel forventes desuden at tage fat på problemet i sine adgangspunkt-kontroller med en V6.10 Patch1, der er klar til at blive frigivet i april 2021.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Kod smartere med GitHub Copilot

    It-løsninger | Online

    Kod smartere med GitHub Copilot

    Få styr på GitHub Copilot og skriv bedre kode hurtigere. Se hvordan Copilot løser opgaver, sparrer på fejl og løfter komplekse workflows. Oplev live demo og lær hvordan du kommer i gang med licenser og opsætning.

    Cyber Threats

    Sikkerhed | København

    Cyber Threats

    Få teknisk indsigt og konkrete løsninger til at modstå moderne cyberangreb. Lær af fejl, stop angreb i tide og byg systemer med ægte resiliens. Fokus på lavniveau-detektion, netværksovervågning og hurtig gendannelse. Deltag i Cyber Threats fra...

    Platform X 2026: Forretning, teknologi og transformation

    It-løsninger | København V

    Platform X 2026: Forretning, teknologi og transformation

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    Se alle vores events inden for it

    Statens IT

    Statens It søger en skarp og nytænkende leder til IT Service Center Aalborg

    Uspecificeret arbejdssted

    Netcompany A/S

    Linux Operations Engineer

    Københavnsområdet

    Ricoh | AVC A/S

    Teknisk Projekt Designer - til vores afdeling i Storkøbenhavn

    Københavnsområdet

    Banedanmark

    IKT leder til digitale jernbaneprojekter

    Sydjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 15. marts 2026 ansat Jouni Salo som Account Manager for Sverige. Han skal især beskæftige sig med med at styrke Renewtechs nordiske tilstedeværelse med fokus primært på det svenske marked. Han kommer fra en stilling som Key Account Manager hos GoGift. Han har tidligere beskæftiget sig med udvikling af salgsaktiviter og kunderelationer på tværs af flere markeder. Nyt job

    Jouni Salo

    Renewtech ApS

    Henrik Vittrup Zoega, projektkoordinator hos Departementet for Fiskeri, Fangst, Landbrug og Selvforsyning, Grønland, har pr. 22. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Syddansk Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Henrik Vittrup Zoega

    Departementet for Fiskeri, Fangst, Landbrug og Selvforsyning, Grønland

    Renewtech ApS har pr. 15. marts 2026 ansat Per Forberg som Account Manager for Sustainable Relations. Han skal især beskæftige sig med etablere nye partnerskaber med henblik på ITAD og sourcing kontrakter med hostingvirksomheder og strategiske slutbrugere. Han kommer fra en stilling som Nordic Key Account Manager hos Tesa. Han er uddannet hos Lund University og har en MBA i Management. Han har tidligere beskæftiget sig med at styrke salgsaktiviteter og partnerskaber på tværs af nordiske markeder. Nyt job

    Per Forberg

    Renewtech ApS

    Immeo har pr. 9. marts 2026 ansat Henrik Søndergaard Andersen som Lead UX Specialist. Han kommer fra en stilling som UX Strategist og Platformsansvarlig hos Dansk Industri. Han er uddannet i Digital Design og Kommunikation fra IT Universitetet. Nyt job

    Henrik Søndergaard Andersen

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Hun bliver CIO i den nye Region Østdanmark: Får ansvaret for milliard-budget på it-området
    2 Netcompany bliver eneejer af kæmpe lufthavns-satsning: Københavns Lufthavn forlader ejerkredsen
    3 It-selskab fra Fyn rejser 261 millioner kroner og gør klar til at købe op i Danmark
    4 Test: Kan danske Jabra egentlig hamle op med tech-giganterne med sin nye topmodel? Svaret er ja
    5 Danmarks største forsyningsselskab med én million kunder advarer: Ondsindede aktører kan have fået adgang til dine data
    6 Morgen-briefing: Teleselskabernes filtrering af svindel-smser var ikke helt lovlig / Trifork køber AI-selskab / Huawei har kæmpevækst i salg af AI-chip
    7 Rykker tættere på fælles it-drift: 19 kommuner siger ja til hinanden - Aarhus får central rolle
    8 Nørgaard: En marxistisk analyse af milliardærskat i dagens anledning - fik Marx egentlig ikke ret?

    Se seneste uge