Zyxel si appresta a pubblicare il secondo aggiornamento che chiude definitivamente la vulnerabilità di alcuni suoi firewall e access point. Portata alla luce a fine novembre dai ricercatori olandesi di Eye Control, la falla in oggetto riguarda una backdoor. In particolare, si tratta di un account utente non documentato con pieni diritti amministrativi, celato nel firmware del dispositivo.

Secondo i ricercatori, la backdoor sarebbe stata introdotta con la versione 4.39 del firmware, pubblicata alcune settimane fa, e sarebbe presente su oltre 100.000 dispositivi Zyxel. L'azienda ha comunicato che l'account in questione è stato progettato in origine con l'unico scopo di fornire aggiornamenti automatici del firmware degli Access Point tramite FTP.

La backdoor costituisce una grave falla nella sicurezza perché permette a un utente esterno di accedere all'account, che utilizza il nome utente zyfwp, tramite SSH o interfaccia Web. Gli utenti che hanno in uso i firewall e gli AP interessati corrono un grave rischio proprio perché l'utente zyfwp dispone di privilegi di amministratore.

Il ricercatore di Eye Control Niels Teusink spiega che "un attaccante potrebbe compromettere la riservatezza, l'integrità e la disponibilità del dispositivo. Potrebbe modificare le impostazioni del firewall per consentire o bloccare un determinato traffico dati. Potrebbe intercettare il traffico o creare account VPN per accedere alla rete a cui si collega il dispositivo. In combinazione con vulnerabilità come Zerologon, questa falla potrebbe rivelarsi devastante per le piccole e medie imprese".


A questo punto vale la pena riportare l'elenco completo dei dispositivi interessati. Per quanto riguarda i firewall, sono soggetti al problema i modelli della Serie ATP con firmware ZLD V4.60, della Serie USG con firmware ZLD V4.60 ZLD, della Serie USG FLEX con firmware ZLD V4.60 e della Serie VPN con firmware ZLD V4.60.

Gli AP afflitti dalla vulnerabilità sono invece l'NXC2500 con firmware da V6.00 a V6.10 e l'NXC5500 con firmware da V6.00 a V6.10. Da notare che Zyxel è stata particolarmente celere nel diffondere la patch per i firewall, che è scaricabile da prima di Natale. Quella per gli AP sarà pubblicata nella giornata di domani.

Chiunque abbia in uso uno di questi prodotti deve installare tempestivamente la correzione di sicurezza. Da notare che la patch comprende anche altre correzioni importanti, quindi è consigliata l'installazione anche per i dispositivi che eseguono una versione precedente alla 4.6. È inoltre caldeggiata la disattivazione dell'amministrazione remota, a meno che non vi siano ottime ragioni per lasciarla attiva.

Alcuni esperti di sicurezza hanno già rilevato tentativi di sfruttamento della falla in questione. I sensori della società GreyNoise presenti in molti data center, per esempio, hanno rilevato attacchi automatici che utilizzano le credenziali del suddetto account. Nella maggior parte dei tentativi gli aggressori si sono limitati ad aggiungere le credenziali agli elenchi esistenti di combinazioni predefinite nome utente / password utilizzate per attaccare router non sicuri e altri tipi di dispositivi.