Søg

Zyxel finder hemmelig bagdørskonto i flere af sine firewall- og VPN-produkter

Den globale producent af netværksenheder, Zyxel, har netop annonceret et patch, der skal lukke en bagdør, der findes i den nyeste version af flere af dets firewall- og VPN-produkter.

6. januar 2021 kl. 11.31
Artikel top billede

(Foto: istockphoto.com)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Zyxel, der er en global producent af netværksenheder, har frigivet en patch til at tackle en kritisk sårbarhed i sin firmware.

Sårbarheden, den skal fikse, handler om en udokumenteret, hemmelig konto, der er kodet direkte ind i kildekoden. Kontoen, der har administrator-rettigheder, kan misbruges af en angriber til at logge ind og kompromittere dens netværksenheder.

Ifølge en forsker fra det tyske sikkerhedsfirma EYE, Niels Teusink, kommer den udokumenterede konto med navnet "zyfwp" med en adgangskode, der ikke kan ændres. I et blogindlæg på EYEs hjemmeside, skriver han:

”Da jeg undersøgte (rooting) på min Zyxel USG40, blev jeg overrasket over at finde en brugerkonto 'zyfwp' med en adgangskode i den nyeste firmwareversion (4.60 patch 0). Almindelig tekstadgangskode var synlig i en af binærfilerne på systemet. Jeg var endnu mere overrasket over, at denne konto syntes at fungere på både SSH og webgrænsefladen."

Zyxel har selv oplyst, at de hard-kodede legitimationsoplysninger blev indført for at levere automatiske firmware-opdateringer til tilsluttede adgangspunkter via FTP-servere (File Transfer Protocol).

Opdatér til nyeste version

Fejlen, der ifølge tech-mediet The Hacker News spores som CVE-2020-29583 (CVSS-score 7.8), påvirker version 4.60, der findes i en lang række Zyxel-enheder.

Niels Teusink, rapporterede om sårbarheden over for Zyxel den 29. november, hvorefter virksomheden udgav en firmwarepatch (ZLD V4.60 Patch1) den 18. december. I indlægget skriver han desuden:

”Jeg tjekkede den tidligere firmwareversion (4.39), og selvom brugeren var til stede, havde den ikke en adgangskode. Det så ud til, at sårbarheden var blevet introduceret i den nyeste firmware-version. Selvom ældre versioner ikke har denne sårbarhed, har de andre (såsom dette bufferoverløb), så du skal stadig opdatere.”

Derfor anbefales det altså stærkt, at brugerne installerer de nødvendige firmwareopdateringer for at mindske risikoen forbundet med fejlen.

Zyxel forventes desuden at tage fat på problemet i sine adgangspunkt-kontroller med en V6.10 Patch1, der er klar til at blive frigivet i april 2021.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Teaser billede

    Annonceindlæg tema

    Forsvar & beredskab

    Cybersikkerhed, realtidsdata og robuste it-systemer er blevet fundamentet for moderne forsvar.

    BEC

    Java software engineer (regular)

    Region Sjælland

    Netcompany A/S

    Linux Operations Engineer

    Midtjylland

    Statens IT

    HCI Specialist – Netværkssikkerhed & Firewall

    Sydjylland

    Rambøll Management Consulting

    Senior Software Engineer

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. november 2025 ansat Christian Homann som Projektleder ved netIP's kontor i Thisted. Han kommer fra en stilling som Digitaliseringschef hos EUC Nordvest. Han er uddannet med en Cand.it og har en del års erfaring med projektledelse. Nyt job

    Christian Homann

    Netip A/S

    Enterprise Rent-A-Car har pr. 1. september 2025 ansat Christian Kamper Garst som Senior Key Account Manager. Han skal især beskæftige sig med at vinde markedsandele i hele Norden som led i en storstilet turnaround-strategi. Han kommer fra en stilling som Salgsdirektør hos Brøchner Hotels. Nyt job

    Christian Kamper Garst

    Enterprise Rent-A-Car

    Immeo har pr. 1. oktober 2025 ansat Malthe Søgaard Sørensen som Consultant. Han kommer fra en stilling som Software udvikler hos Rohde & Schwarz. Han er uddannet Computer Scientist fra Aalborg Universitet. Nyt job

    Malthe Søgaard Sørensen

    Immeo

    Immeo har pr. 1. oktober 2025 ansat Michael Krogh-Schlicter som Director. Han kommer fra en stilling som Senior Vice President hos Valtech. Han er uddannet i Business Administration and Computer Science på CBS. Nyt job

    Michael Krogh-Schlicter

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 IBM gør klar til enorm handel på over 70 milliarder kroner: Bliver selskabets næststørste opkøb nogensinde
    2 Stor skandinavisk fagforening hacket: Oplysninger fra 40.000 medlemmer lækket
    3 Europæisk it-gigant ramt af politirazziaer i flere lande
    4 Derfor er den billigste Tesla bedst: Prøvekørt discount-version af model Y brillerer der, hvor det gælder
    5 Morgen-briefing: Elon Musk vil have EU opløst efter stor bøde til X / Crayon og AWS går sammen med kendt fodboldklub om ny platform / EU giver TikTok grønt lys efter undersøgelse
    6 Ny skelsættende GDPR-dom kan få stor betydning for online markedspladser
    7 Microsoft har i al stilhed endelig fikset flere år gammel sårbarhed: Har været udnyttet af hackere siden 2017
    8 Intel vender på en tallerken: Opgiver frasalg af netværksforretningen

    Se seneste uge