Velké množství modelů síťových prvků ZyXel, které jsou populární i v Česku, obsahuje takzvaný backdoor. Označení "zadní vrátka" označuje možnost připojit se bez znalosti oficiálních hesel. V tomto případě nebezpečí představuje skrytý uživatelský účet s administrátorskými právy a pevně nastaveným heslem. Triviálně zneužitelná zranitelnost umožňuje útočníkovi získat naprostou kontrolu nad zařízením.

Zařízení tchajwanského výrobce jsou populární, protože obecně nabízejí slušnou kvalitu za dobrou cenu. Nicméně tahle chyba je tak obrovsky hloupá, že nad ní zůstává rozum stát.

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Problém se týká celé řady firewallů, VPN routerů a řídicích jednotek AP. Seznam zasažených modelů a doporučený postup je ke stažení na webu výrobce. Chyba se netýká běžných domácích routerů a modemů, které ZyXel vyrábí také, ale vyšší řady produktů určené pro menší a střední firmy.

Ve firmwaru postižených modelů je napevno vytvořen skrytý uživatel "zyfwp" s heslem "PrOw!aN_fXp". Heslo je ve firmwaru dostupné v otevřeném tvaru, uživatel není vidět v uživatelském rozhraní, nelze ho zakázat ani heslo změnit. A ke všemu má administrátorská práva. Lze jej použít například pro přihlášení do webové administrace nebo přes šifrovaný protokol SSH. Účet měl podle vyjádření výrobce sloužit k automatické aktualizaci firmwaru.

Situaci zhoršuje fakt, že řada postižených zařízení slouží jako endpointy pro VPN, které běží na portu 443 (HTTPS). Mají tedy tento port otevřený do internetu a zároveň na něm běží webové administrační rozhraní. Útok tak lze provést nejenom z vnitřní sítě, ale i přímo z internetu.

Niels Teusink z nizozemské společnosti EYE, který problém objevil, na základě svých testů odhaduje, že touto zranitelností je postiženo přibližně deset procent zařízení ze seznamu zasažených produktů. Štěstí v neštěstí je v tom, že bezpečnostní slabinu přinesla nedávná aktualizace firmwaru a problém byl odhalen po pouhých několika týdnech.

Pokud máte postižené zařízení, neprodleně aktualizujte firmware na nejaktuálnější dostupnou verzi. ZyXel sice nabízí mechanismus automatické aktualizace firmwaru, ale není ve výchozím nastavení zapnutý, takže v takovém případě musíte aktualizaci provést ručně a s ohledem na závažnost problému se vyplatí dostupnost aktualizací ověřit manuálně.

Skrytí uživatelé s pevně zadanými hesly jsou mor, který postihuje obrovské množství produktů a zařízení. Má i své vlastní označení CVE weakness ID 259. Většinou se nejedná vyloženě o zlý úmysl, ale o snahu někde něco zjednodušit. V tomto případě aktualizace firmwaru, ale třeba i vzdálenou podporu a podobně. Problém je, že je to řešení velice hloupé. Protože existence takového hesla nezůstane tajemstvím věčně. Náprava pak vyžaduje vydání, distribuci a instalaci nové verze firmwaru, což je často zásadní problém. Je s podivem, že firma typu ZyXel, která se do jisté míry specializuje na bezpečnostní hardware, se takovéhle boty dopustila.