Søg

Zyxel finder hemmelig bagdørskonto i flere af sine firewall- og VPN-produkter

Den globale producent af netværksenheder, Zyxel, har netop annonceret et patch, der skal lukke en bagdør, der findes i den nyeste version af flere af dets firewall- og VPN-produkter.

6. januar 2021 kl. 11.31
Artikel top billede

(Foto: istockphoto.com)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Zyxel, der er en global producent af netværksenheder, har frigivet en patch til at tackle en kritisk sårbarhed i sin firmware.

Sårbarheden, den skal fikse, handler om en udokumenteret, hemmelig konto, der er kodet direkte ind i kildekoden. Kontoen, der har administrator-rettigheder, kan misbruges af en angriber til at logge ind og kompromittere dens netværksenheder.

Ifølge en forsker fra det tyske sikkerhedsfirma EYE, Niels Teusink, kommer den udokumenterede konto med navnet "zyfwp" med en adgangskode, der ikke kan ændres. I et blogindlæg på EYEs hjemmeside, skriver han:

”Da jeg undersøgte (rooting) på min Zyxel USG40, blev jeg overrasket over at finde en brugerkonto 'zyfwp' med en adgangskode i den nyeste firmwareversion (4.60 patch 0). Almindelig tekstadgangskode var synlig i en af binærfilerne på systemet. Jeg var endnu mere overrasket over, at denne konto syntes at fungere på både SSH og webgrænsefladen."

Zyxel har selv oplyst, at de hard-kodede legitimationsoplysninger blev indført for at levere automatiske firmware-opdateringer til tilsluttede adgangspunkter via FTP-servere (File Transfer Protocol).

Opdatér til nyeste version

Fejlen, der ifølge tech-mediet The Hacker News spores som CVE-2020-29583 (CVSS-score 7.8), påvirker version 4.60, der findes i en lang række Zyxel-enheder.

Niels Teusink, rapporterede om sårbarheden over for Zyxel den 29. november, hvorefter virksomheden udgav en firmwarepatch (ZLD V4.60 Patch1) den 18. december. I indlægget skriver han desuden:

”Jeg tjekkede den tidligere firmwareversion (4.39), og selvom brugeren var til stede, havde den ikke en adgangskode. Det så ud til, at sårbarheden var blevet introduceret i den nyeste firmware-version. Selvom ældre versioner ikke har denne sårbarhed, har de andre (såsom dette bufferoverløb), så du skal stadig opdatere.”

Derfor anbefales det altså stærkt, at brugerne installerer de nødvendige firmwareopdateringer for at mindske risikoen forbundet med fejlen.

Zyxel forventes desuden at tage fat på problemet i sine adgangspunkt-kontroller med en V6.10 Patch1, der er klar til at blive frigivet i april 2021.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Summit 2026 - København

    Event: Computerworld Summit 2026 - København

    Digital transformation | København

    Styrk din digitale strategi med konkret brug af AI og ny teknologi. Mød 250 it-professionelle, få indsigter, løsninger og netværk på én dag. Computerworld Summit i København viser hvordan teknologi skaber forretningsværdi – her og nu.

    28. april 2026 | Gratis deltagelse

    Exsitec ApS

    Erfaren salgskonsulent med ERP-viden

    Midtjylland

    Netcompany A/S

    Erfaren databasespecialist

    Københavnsområdet

    Netcompany A/S

    Erfaren Linux Operations Engineer

    Midtjylland

    Jyske Bank

    Analytiker til forretningsudvikling

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Adeno K/S har pr. 22. september 2025 ansat Steen Riis-Petersen som ServiceNow Expert. Han kommer fra en stilling som Senior Manager hos Devoteam A/S. Nyt job

    Steen Riis-Petersen

    Adeno K/S

    Signifly har pr. 1. august 2025 ansat Anders Kirk Madsen som Tech Lead. Anders skal især beskæftige sig med at hjælpe Signiflys offentlige og private kunder med at styrke forretningen gennem teknisk solide løsninger. Anders kommer fra en stilling som Business Architect hos SOS International. Nyt job

    Anders Kirk Madsen

    Signifly

    Norriq Danmark A/S har pr. 1. september 2025 ansat Birthe Kamstrup som Data & AI Consultant. Hun skal især beskæftige sig med at optimere datadrevne beslutningsprocesser til glæde for Norriq's kunder. Hun kommer fra en stilling som Teamlead/Senior Insight Specialist hos CompanYoung. Hun er uddannet i sociologi og har en bachelor i erhvervsøkonomi på Aarhus universitet. Nyt job

    Birthe Kamstrup

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Ahmed Yasin Mohammed Hassan som Data & AI Consultant. Han kommer fra en stilling som selvstændig gennem de seneste 3 år. Han er uddannet cand. merc. i Business Intelligence fra Aarhus Universitet. Nyt job

    Ahmed Yasin Mohammed Hassan

    Norriq Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Efter to årtier med LibreOffice gik Region Midtjylland tilbage til Microsoft – det var den rigtige beslutning, siger it-direktør
    2 Sikkerhedsfejl i Windows udnyttes aktivt: Microsoft sender haste-patch ud - 63 softwarefejl i alt
    3 Russisk software har kortlagt Danmark i årevis: “Det er simpelthen russisk roulette”
    4 Microsoft trækker ny funktion i Stifinder til Windows 11 tilbage på ubestemt tid
    5 Cyberangreb ramte ikonisk butikskæde med kirurgisk præcision - og nu er den svimlende store regning blevet gjort op
    6 Rudersdal Kommune beordrede it-chef til at snage i ansattes mails – nu mødes kommunen om muligt lovbrud
    7 Pludselig sad Margrethe Vestager igen i rampelyset: Blandt 6.500 it-ledere viste hun en vej til digital suverænitet
    8 Flodbølgen af DDoS-angreb mod Danmark fortsætter: Kommuner er i sigtekornet

    Se seneste uge