{"id":16229,"date":"2021-01-12T15:47:25","date_gmt":"2021-01-12T15:47:25","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16229"},"modified":"2021-01-12T15:47:25","modified_gmt":"2021-01-12T15:47:25","slug":"zyxel-undocumented-account","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/zyxel-undocumented-account\/16229\/","title":{"rendered":"Compte cod\u00e9 en dur dans le mat\u00e9riel ZyXel"},"content":{"rendered":"<p>En fin d\u2019ann\u00e9e, le chercheur Niels Teusink de l\u2019entreprise hollandaise Eye Control a signal\u00e9 une vuln\u00e9rabilit\u00e9 au sein du <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-29583\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">mat\u00e9riel de ZyXel<\/a> : un compte administrateur non enregistr\u00e9 et connu comme \u00ab\u00a0zyfwp\u00a0\u00bb avec un mot de passe cod\u00e9 en dur dans plusieurs pare-feu et contr\u00f4leurs du hardware. Le code du micrologiciel contient un mot de passe non chiffr\u00e9. Les propri\u00e9taires doivent mettre \u00e0 jour le micrologiciel d\u00e8s que possible.<\/p>\n<h2>Quels sont les risques ?<\/h2>\n<p>Le compte permet \u00e0 une personne ext\u00e9rieure de se connecter au dispositif via une interface Web ou le protocole SSH, et donc d\u2019obtenir un acc\u00e8s administrateur. Le compte ne peut pas \u00eatre d\u00e9sactiv\u00e9 et il est impossible de changer le mot de passe. En d\u2019autres termes, vous ne pouvez pas supprimer la vuln\u00e9rabilit\u00e9 en modifiant les param\u00e8tres de l\u2019appareil.<\/p>\n<p>Le point le plus dangereux, selon Teusink, est la fa\u00e7on dont certains dispositifs utilisent le port 443 pour le SSL VPN en plus de son utilisation normale pour acc\u00e9der \u00e0 l\u2019interface Web. Par cons\u00e9quent, le port est ouvert \u00e0 l\u2019acc\u00e8s depuis Internet sur certains r\u00e9seaux. L\u2019acc\u00e8s \u00e0 distance aux ressources de l\u2019entreprise est particuli\u00e8rement demand\u00e9 depuis quelque temps puisque beaucoup d\u2019employ\u00e9s du monde entier sont en t\u00e9l\u00e9travail \u00e0 cause de la pand\u00e9mie de coronavirus.<\/p>\n<p>La passerelle VPN permet aux utilisateurs de cr\u00e9er de nouveaux comptes pour acc\u00e9der aux ressources qui se trouvent dans le p\u00e9rim\u00e8tre de l\u2019entreprise. La vuln\u00e9rabilit\u00e9 pourrait \u00e9galement permettre aux pirates informatiques de reconfigurer l\u2019appareil et de bloquer ou d\u2019intercepter le trafic.<\/p>\n<p>Le chercheur s\u2019est abstenu de publier le mot de passe pour des raisons d\u2019\u00e9thique et de s\u00e9curit\u00e9 mais son message explique o\u00f9 le trouver, et c\u2019est pourquoi plusieurs ressources de cybers\u00e9curit\u00e9 l\u2019ont d\u00e9j\u00e0 rendu public. M\u00eame les cybercriminels sans exp\u00e9rience peuvent d\u00e9sormais exploiter cette vuln\u00e9rabilit\u00e9, ce qui rend la situation particuli\u00e8rement dangereuse.<\/p>\n<h2>Quels dispositifs sont vuln\u00e9rables ?<\/h2>\n<p>La vuln\u00e9rabilit\u00e9 affecte les s\u00e9ries ATP, USG, USG FLEX et VPN des pare-feu con\u00e7us pour les dispositifs des PME et \u00e9quip\u00e9s de la version ZLD v4.60. La liste compl\u00e8te des mod\u00e8les qui doivent imm\u00e9diatement \u00eatre mis \u00e0 jour et des correctifs correspondants est disponible sur le <a href=\"https:\/\/businessforum.zyxel.com\/discussion\/5252\/zld-v4-60-revoke-and-wk48-firmware-release\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">site de ZyXel<\/a>.<\/p>\n<p>Parmi les appareils vuln\u00e9rables on trouve aussi les contr\u00f4leurs de points d\u2019acc\u00e8s r\u00e9seau sans fil NXC2500 et NXC5500 qui ex\u00e9cutent les versions entre v6.00 et v6.10. Malheureusement, les correctifs ne sont pas encore disponibles m\u00eame si ZyXel a indiqu\u00e9 qu\u2019ils devraient l\u2019\u00eatre \u00e0 partir du 8 janvier.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 ne concerne pas les versions plus anciennes du micrologiciel mais cela ne signifie pas pour autant que les propri\u00e9taires de ces appareils n\u2019ont rien \u00e0 craindre. Un nouveau micrologiciel est cr\u00e9\u00e9 pour une bonne raison (souvent plusieurs) et les dispositifs ne sont prot\u00e9g\u00e9s que quand ils sont \u00e0 jour.<\/p>\n<h2>Que faire<\/h2>\n<p>Tout d\u2019abord, mettez imm\u00e9diatement \u00e0 jour le micrologiciel des dispositifs vuln\u00e9rables en installant les correctifs disponibles sur les <a href=\"https:\/\/businessforum.zyxel.com\/discussion\/5252\/zld-v4-60-revoke-and-wk48-firmware-release\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">forums de ZyXel<\/a>. S\u2019il n\u2019y a pas encore de patch pour votre appareil, consultez r\u00e9guli\u00e8rement les forums et installez la mise \u00e0 jour d\u00e8s qu\u2019elle est disponible.<\/p>\n<p>De plus, nous vous conseillons d\u2019utiliser un <a href=\"https:\/\/www.kaspersky.fr\/small-business-security\/small-office-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_banner____ksos___\" target=\"_blank\" rel=\"noopener\">syst\u00e8me de s\u00e9curit\u00e9 robuste pour vos postes de travail<\/a>. Il faut prot\u00e9ger les ordinateurs des employ\u00e9s avant qu\u2019un cybercriminel ne puisse acc\u00e9der au r\u00e9seau de l\u2019entreprise.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksos\">\n","protected":false},"excerpt":{"rendered":"<p>\u201cZyfwp\u201d est un compte administrateur dont le mot de passe est cod\u00e9 en dur. Il a \u00e9t\u00e9 d\u00e9couvert dans plusieurs dispositifs r\u00e9seau de ZyXel. <\/p>\n","protected":false},"author":2581,"featured_media":16230,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3151],"tags":[4059,121,322],"class_list":{"0":"post-16229","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-equipement","10":"tag-reseau","11":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zyxel-undocumented-account\/16229\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zyxel-undocumented-account\/22392\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zyxel-undocumented-account\/17880\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zyxel-undocumented-account\/8864\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zyxel-undocumented-account\/24069\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zyxel-undocumented-account\/22150\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zyxel-undocumented-account\/20834\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zyxel-undocumented-account\/24497\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zyxel-undocumented-account\/23699\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zyxel-undocumented-account\/29933\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zyxel-undocumented-account\/9205\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zyxel-undocumented-account\/38335\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zyxel-undocumented-account\/16808\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/zyxel-undocumented-account\/14356\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zyxel-undocumented-account\/26052\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/zyxel-undocumented-account\/29858\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/zyxel-undocumented-account\/26576\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zyxel-undocumented-account\/23429\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zyxel-undocumented-account\/28769\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zyxel-undocumented-account\/28579\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16229","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=16229"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16229\/revisions"}],"predecessor-version":[{"id":16232,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16229\/revisions\/16232"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/16230"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=16229"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=16229"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=16229"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}