Síťové prvky Zyxel trpí backdooremFirewally a brány značky Zyxel jsou přístupné kyberútokům přes zadní vrátka. Kupodivu je neotevírá žádný malware, který by je napadl, ale jsou tam přítomna přímo z výroby. Zyxel se nejen domníval, že je dobrým nápadem v těchto prvcích skrýt stínový administrátorský účet, ale navíc ho i tristně zpřístupnil všem útočníkům odkrytím přihlašovacích údajů. Jak lze tolik chyb navršit v jedné kauze?
Niels Teusink, expert z bezpečnostní firmy EYE, si všiml závažné bezpečnostní chyby v zabezpečení prvků Zyxelů. Objevil ji při testování vlastního zařízení:
Nejenže byly přihlašovacího údaje tohoto účtu volně dostupné komukoliv, kdo by se na síťové prvky Zyxel pokusil zaútočit, navíc uživatel zařízení ani neví, že tento účet na jeho zařízení je. Teusink říká, že KomplikaceChyba v podobě tzv. backdoor account dostala označení CVE-2020-29583. Bezpečnostní riziko chyby zvyšuje fakt, že webová rozhraní administrace operují na stejném portu jako SSL VPN. A proto je možné vést kyberútok nejen zevnitř sítě, ale i z vnějšího internetu. Teusinkovi se pomocí veřejných dat Project Sonar podařilo identifikovat na 3.000 takto zranitelných zařízení v Holandsku a přes 100 000 celosvětově. Teusink odhaduje, že celkem je backdoor účtem postiženo 10 % všech dotčených zařízení, a to sice v důsledku toho, že ho obsahuje právě poslední aktualizace firmwaru, která proběhla nedávno. Naopak nepříliš příznivou zprávou je to, že chyba byla po objevení relativně brzo zveřejněna a všechna neaktualizovaná zařízení jsou tak v přímém ohrožení. Seznam zařízení Zyxel, pro které už je dostupná záplataChyba CVE-2020-29583 se týká firewallů, VPN routerů a řídících jednotek AP. Zyxel už nabízí záplatu pro tato zařízení:
Nezáplatované AP controlleryNezáplatované aktuálně jsou řídící jednotky AP NXC2500 a NXC5500 provozující firmware ve verzích V6.00 až V6.10. Záplata bude dostupná 8. ledna 2021. Aktualizace firmwaruI když jsou dostupné záplaty v podobě aktualizace firmwaru jednotlivých zařízení, je nutno často aktualizovat manuálně. Administrace prvků sice automatickou aktualizaci nabízí, ale ta ve výchozím nastavení není zapnuta. Proč vůbec firmware obsahuje stínový administrátorský účet?Zyxel tvrdí, že jde o Užitečné odkazy
Zdroje
Daniel Beránek, 05.01.2021 16:46 Aktualizace AI generátoru obrázků od Freepiku přináší revoluční zlepšení v rychlosti a fotorealističnosti, což umožní grafickým designérům, marketérům a grafikům tvorbu vizuálů s nepřekonatelnou přesností a detaily. Jaké možnosti... Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky... Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním... Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak... |