Compte codé en dur dans le matériel ZyXel

En fin d’année, le chercheur Niels Teusink de l’entreprise hollandaise Eye Control a signalé une vulnérabilité au sein du matériel de ZyXel : un compte administrateur non enregistré et connu comme « zyfwp » avec un mot de passe codé en dur dans plusieurs pare-feu et contrôleurs du hardware. Le code du micrologiciel contient un mot de passe non chiffré. Les propriétaires doivent mettre à jour le micrologiciel dès que possible.

Quels sont les risques ?

Le compte permet à une personne extérieure de se connecter au dispositif via une interface Web ou le protocole SSH, et donc d’obtenir un accès administrateur. Le compte ne peut pas être désactivé et il est impossible de changer le mot de passe. En d’autres termes, vous ne pouvez pas supprimer la vulnérabilité en modifiant les paramètres de l’appareil.

Le point le plus dangereux, selon Teusink, est la façon dont certains dispositifs utilisent le port 443 pour le SSL VPN en plus de son utilisation normale pour accéder à l’interface Web. Par conséquent, le port est ouvert à l’accès depuis Internet sur certains réseaux. L’accès à distance aux ressources de l’entreprise est particulièrement demandé depuis quelque temps puisque beaucoup d’employés du monde entier sont en télétravail à cause de la pandémie de coronavirus.

La passerelle VPN permet aux utilisateurs de créer de nouveaux comptes pour accéder aux ressources qui se trouvent dans le périmètre de l’entreprise. La vulnérabilité pourrait également permettre aux pirates informatiques de reconfigurer l’appareil et de bloquer ou d’intercepter le trafic.

Le chercheur s’est abstenu de publier le mot de passe pour des raisons d’éthique et de sécurité mais son message explique où le trouver, et c’est pourquoi plusieurs ressources de cybersécurité l’ont déjà rendu public. Même les cybercriminels sans expérience peuvent désormais exploiter cette vulnérabilité, ce qui rend la situation particulièrement dangereuse.

Quels dispositifs sont vulnérables ?

La vulnérabilité affecte les séries ATP, USG, USG FLEX et VPN des pare-feu conçus pour les dispositifs des PME et équipés de la version ZLD v4.60. La liste complète des modèles qui doivent immédiatement être mis à jour et des correctifs correspondants est disponible sur le site de ZyXel.

Parmi les appareils vulnérables on trouve aussi les contrôleurs de points d’accès réseau sans fil NXC2500 et NXC5500 qui exécutent les versions entre v6.00 et v6.10. Malheureusement, les correctifs ne sont pas encore disponibles même si ZyXel a indiqué qu’ils devraient l’être à partir du 8 janvier.

La vulnérabilité ne concerne pas les versions plus anciennes du micrologiciel mais cela ne signifie pas pour autant que les propriétaires de ces appareils n’ont rien à craindre. Un nouveau micrologiciel est créé pour une bonne raison (souvent plusieurs) et les dispositifs ne sont protégés que quand ils sont à jour.

Que faire

Tout d’abord, mettez immédiatement à jour le micrologiciel des dispositifs vulnérables en installant les correctifs disponibles sur les forums de ZyXel. S’il n’y a pas encore de patch pour votre appareil, consultez régulièrement les forums et installez la mise à jour dès qu’elle est disponible.

De plus, nous vous conseillons d’utiliser un système de sécurité robuste pour vos postes de travail. Il faut protéger les ordinateurs des employés avant qu’un cybercriminel ne puisse accéder au réseau de l’entreprise.