Søg

Zyxel finder hemmelig bagdørskonto i flere af sine firewall- og VPN-produkter

Den globale producent af netværksenheder, Zyxel, har netop annonceret et patch, der skal lukke en bagdør, der findes i den nyeste version af flere af dets firewall- og VPN-produkter.

06. januar 2021 kl. 11.31
Artikel top billede

(Foto: istockphoto.com)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Zyxel, der er en global producent af netværksenheder, har frigivet en patch til at tackle en kritisk sårbarhed i sin firmware.

Sårbarheden, den skal fikse, handler om en udokumenteret, hemmelig konto, der er kodet direkte ind i kildekoden. Kontoen, der har administrator-rettigheder, kan misbruges af en angriber til at logge ind og kompromittere dens netværksenheder.

Ifølge en forsker fra det tyske sikkerhedsfirma EYE, Niels Teusink, kommer den udokumenterede konto med navnet "zyfwp" med en adgangskode, der ikke kan ændres. I et blogindlæg på EYEs hjemmeside, skriver han:

”Da jeg undersøgte (rooting) på min Zyxel USG40, blev jeg overrasket over at finde en brugerkonto 'zyfwp' med en adgangskode i den nyeste firmwareversion (4.60 patch 0). Almindelig tekstadgangskode var synlig i en af binærfilerne på systemet. Jeg var endnu mere overrasket over, at denne konto syntes at fungere på både SSH og webgrænsefladen."

Zyxel har selv oplyst, at de hard-kodede legitimationsoplysninger blev indført for at levere automatiske firmware-opdateringer til tilsluttede adgangspunkter via FTP-servere (File Transfer Protocol).

Opdatér til nyeste version

Fejlen, der ifølge tech-mediet The Hacker News spores som CVE-2020-29583 (CVSS-score 7.8), påvirker version 4.60, der findes i en lang række Zyxel-enheder.

Niels Teusink, rapporterede om sårbarheden over for Zyxel den 29. november, hvorefter virksomheden udgav en firmwarepatch (ZLD V4.60 Patch1) den 18. december. I indlægget skriver han desuden:

”Jeg tjekkede den tidligere firmwareversion (4.39), og selvom brugeren var til stede, havde den ikke en adgangskode. Det så ud til, at sårbarheden var blevet introduceret i den nyeste firmware-version. Selvom ældre versioner ikke har denne sårbarhed, har de andre (såsom dette bufferoverløb), så du skal stadig opdatere.”

Derfor anbefales det altså stærkt, at brugerne installerer de nødvendige firmwareopdateringer for at mindske risikoen forbundet med fejlen.

Zyxel forventes desuden at tage fat på problemet i sine adgangspunkt-kontroller med en V6.10 Patch1, der er klar til at blive frigivet i april 2021.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Samarbejde mellem AI og mennesker styrker sikkerheden Samarbejde mellem AI og mennesker styrker sikkerheden
    Whitepaper
    Samarbejde mellem AI og mennesker styrker sikkerheden
    Undgå at printeren bliver svageste led i sikkerheden Undgå at printeren bliver svageste led i sikkerheden
    Whitepaper
    Undgå at printeren bliver svageste led i sikkerheden
    De spørgsmål 200+ danske virksomheder stiller om print – samlet i én guide De spørgsmål 200+ danske virksomheder stiller om print – samlet i én guide
    Whitepaper
    De spørgsmål 200+ danske virksomheder stiller om print – samlet i én guide
    Se flere whitepapers

    Netcompany A/S

    Erfaren Linux Operations Engineer

    Københavnsområdet

    Capgemini Danmark A/S

    Senior Domain Solution Architect NCE - Pharma Technical Operations (Senior Director/VP)

    Københavnsområdet

    Everllence

    Senior Embedded Software Engineer

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Specialister inden for Datacenter, Core Services og Netværkssikkerhed – Network Operations & Management, Digital Backbone

    Nordjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

    Jonas Kyhnau

    Pentos

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job

    Steffen Bendix Søjberg

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Disse 58 danske virksomheder står på hackernes liste over ofre for alvorlig Fortinet-sårbarhed: Se listen her
    2 Stor-alarm hos en af verdens mest udbredte firewall-producenter: Ramt af kæmpe lækage
    3 Vi tester Lenovos uber-laptop: Et carbon-drøn af en maskine til priser op til 55.000 kroner
    4 Vil lokke VMware-flygtninge til: Tilbyder gratis licenser i et helt år
    5 Danske software-selskaber kan om få uger blive ramt af særlig skatteregel: "Hvad skal vi gøre? Det er jo en ret alvorlig situation"
    6 Ny suverænitets-aftale mellem Tyskland og Frankrig kan komme til at sætte standarden for hele Europa: Her er de nye kriterier
    7 Udtjente telefoner kan blive din nye private cloud
    8 Nørgaard: Den dødelige disciplin governance slår sjæle ihjel - især ildsjæle

    Se seneste uge