Pour gérer vos consentements :
Categories: RéseauxSécurité

ZyXEL introduit une faille dans ses pare-feu

Prière de mettre à jour le firmware de nos firewalls physiques. C’est, dans les grandes lignes, le message que fait passer ZyXEL.

L’équipementier taïwanais avait publié le firmware en question le 10 novembre 2020. Dix-neuf jours plus tard, un chercheur lui avait signalé la présence d’une faille. Cette vulnérabilité repose sur un compte administrateur non documenté. ZyXEL dit l’avoir implémenté pour faciliter la mise à jour automatique de ses pare-feu par FTP.

Les identifiants du compte sont codés en dur. Problème : il est possible d’y accéder en clair… et on ne peut les modifier.
L’ensemble est utilisable aussi bien en SSH que sur la console web. Avec, entre autres conséquences, de potentielles modifications des règles de pare-feu, l’interception de trafic et la création de comptes VPN pour accéder au réseau en aval.

La faille touche aussi les contrôleurs Wi-Fi NXC2500 et NXC5500 en versions 6.00 à 6.10. Le tableau ci-dessous résume la situation.

Sur ces firewalls, les VPN SSL utilisent le port 443. La console web, qui exploite le même port, se retrouve ainsi souvent exposée au réseau internet. Plus de 100 000 appareils seraient dans ce cas, affirme le chercheur à l’origine de la découverte.
Interroger ces équipements en tant qu’utilisateur non authentifié ne permet pas d’obtenir directement la version de firmware installée. On peut toutefois la déterminer en fonction de certains fichiers CSS et JavaScript qui remontent.

Des tests réalisés aux Pays-Bas sur un échantillon de 1000 appareils donnent un taux de vulnérabilité de 10 %. La proportion aurait pu être plus importante si les mises à jour automatiques n’étaient pas désactivées par défaut.

ZyXEL avait publié un premier patch le 8 décembre 2020. Une semaine plus tard, tous les appareils touchés avaient leur correctif.

Photo d’illustration (firewall VPN300) © Zyxel

Recent Posts

Ecoconception web : 15 termes à connaître

Circuit breaker, feature flipping, lazy loading... Autant de concepts qui trouvent un contexte d'application dans…

17 minutes ago

Ces 15 certifications IT qui rapportent

Les certifications cloud et cybersécurité sont celles pour lesquelles les recruteurs sont prêts à payer…

2 heures ago

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

6 heures ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

7 heures ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

9 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

11 heures ago