Velké množství modelů síťových prvků ZyXel, které jsou populární i v Česku, obsahuje takzvaný backdoor. Označení "zadní vrátka" označuje možnost připojit se bez znalosti oficiálních hesel. V tomto případě nebezpečí představuje skrytý uživatelský účet s administrátorskými právy a pevně nastaveným heslem. Triviálně zneužitelná zranitelnost umožňuje útočníkovi získat naprostou kontrolu nad zařízením.

Zařízení tchajwanského výrobce jsou populární, protože obecně nabízejí slušnou kvalitu za dobrou cenu. Nicméně tahle chyba je tak obrovsky hloupá, že nad ní zůstává rozum stát.

Tento článek patří do placené sekce.

Pro vás jej odemknul někdo, kdo má předplatné.


Pokud budete předplatitelem, budete moci stejným způsobem odemykat placené články i pro své přátele.
A získáte i řadu dalších výhod.

Problém se týká celé řady firewallů, VPN routerů a řídicích jednotek AP. Seznam zasažených modelů a doporučený postup je ke stažení na webu výrobce. Chyba se netýká běžných domácích routerů a modemů, které ZyXel vyrábí také, ale vyšší řady produktů určené pro menší a střední firmy.

Ve firmwaru postižených modelů je napevno vytvořen skrytý uživatel "zyfwp" s heslem "PrOw!aN_fXp". Heslo je ve firmwaru dostupné v otevřeném tvaru, uživatel není vidět v uživatelském rozhraní, nelze ho zakázat ani heslo změnit. A ke všemu má administrátorská práva. Lze jej použít například pro přihlášení do webové administrace nebo přes šifrovaný protokol SSH. Účet měl podle vyjádření výrobce sloužit k automatické aktualizaci firmwaru.

Situaci zhoršuje fakt, že řada postižených zařízení slouží jako endpointy pro VPN, které běží na portu 443 (HTTPS). Mají tedy tento port otevřený do internetu a zároveň na něm běží webové administrační rozhraní. Útok tak lze provést nejenom z vnitřní sítě, ale i přímo z internetu.

Niels Teusink z nizozemské společnosti EYE, který problém objevil, na základě svých testů odhaduje, že touto zranitelností je postiženo přibližně deset procent zařízení ze seznamu zasažených produktů. Štěstí v neštěstí je v tom, že bezpečnostní slabinu přinesla nedávná aktualizace firmwaru a problém byl odhalen po pouhých několika týdnech.

Pokud máte postižené zařízení, neprodleně aktualizujte firmware na nejaktuálnější dostupnou verzi. ZyXel sice nabízí mechanismus automatické aktualizace firmwaru, ale není ve výchozím nastavení zapnutý, takže v takovém případě musíte aktualizaci provést ručně a s ohledem na závažnost problému se vyplatí dostupnost aktualizací ověřit manuálně.

Skrytí uživatelé s pevně zadanými hesly jsou mor, který postihuje obrovské množství produktů a zařízení. Má i své vlastní označení CVE weakness ID 259. Většinou se nejedná vyloženě o zlý úmysl, ale o snahu někde něco zjednodušit. V tomto případě aktualizace firmwaru, ale třeba i vzdálenou podporu a podobně. Problém je, že je to řešení velice hloupé. Protože existence takového hesla nezůstane tajemstvím věčně. Náprava pak vyžaduje vydání, distribuci a instalaci nové verze firmwaru, což je často zásadní problém. Je s podivem, že firma typu ZyXel, která se do jisté míry specializuje na bezpečnostní hardware, se takovéhle boty dopustila.

Související
Související

Líbil se vám článek? Chcete víc takových článků?

Kupte si předplatné a můžete si je číst všechny. Navíc bez reklam a s možností sdílet přátelům.

Vyzkoušejte předplatné HN+
Newsletter

Týden s technologiemi Otakara Schöna

Události posledního týdne ve světě technologií podle Otakara Schöna

Editor rubriky Tech Otakar Schön pro Vás vybírá nejzajímavější nebo nejzásadnější události ze světa technologií, které se odehrály v uplynulém týdnu. Každý pátek v podvečer najdete ve své mailové schránce.

Přihlášením se k odběru newsletteru souhlasíte se zpracováním osobních údajů a zasíláním obchodních sdělení, více informací ZDE. Z odběru se můžete kdykoli odhlásit.

Přihlásit se k odběru