ZyXEL: backdoor in Access Point, gateway VPN e firewall, cosa fare per rimanere protetti

Una grana non da poco quella appena scoperta dall’azienda di cybersecurity Eye. Come evidenziato nell’articolo pubblicato dal ricercatore Niels Teusink, infatti, un backdoor hardcoded avrebbe colpito oltre 100.000 controller ZyXEL, presenti in Access Point, gateway VPN e firewall. 

Vuoi rimanere aggiornato su tutte le ultime news? Iscriviti al nostro canale Telegram!

Cosa comporta questo backdoor? Per farla breve, i malintenzionati potrebbero avere accesso non solo tramite SSH, ma anche servendosi del pannello di amministrazione web. Solo in Olanda i dispositivi esposti al backdoor sono circa tremila, ma in tutto il mondo si arriva alla roboante cifra di 100.000 controller a rischio. 

Con le credenziali ottenute, qualsiasi hacker può avere accesso al dispositivo e modificarlo a proprio piacimento. Una vulnerabilità molto pesante per un’azienda attiva dal 1989 e che è sempre riuscita a distinguersi per la propria affidabilità. 

Molto probabilmente tutto è nato da un errore di superficialità, ovvero le credenziali non cancellate quando è stato finalizzato il passaggio del firmware dalla fase di sviluppo a quella di produzione. 

I modelli interessati sono quelli con la versione 4.60 del firmware: si tratta di prodotti ZyXEL generalmente distribuiti su reti private, aziendali o di governo. Sono già state individuate alcune patch per le serie Advanced Threat Protection (ATP), Unified Security Gateway (USG), USG FLEX e VPN. Per la serie NXC, che viene utilizzata come controller del punto di accesso WLAN, la patch sarà disponibile da venerdì 8 gennaio. 

Per assicurarsi che il proprio prodotto ZyXEL non sia vulnerabile basta avviare una sessione via SSH. A quel punto, serve dare il comando show users current: e controllare che non ci sia alcun account ezyfwp.