Cerca de 100.000 dispositivos de la marca Zyxel son susceptibles de un acceso remoto, con privilegios de administración, debido a que se ha hecho público que la marca mantenía un acceso (usuario / password) ‘hardcodeado’ en el sistema.

El investigador Niels Teusink de la empresa EYE descubrió este «fallo» que afectaría a todas las versiones del firmware anteriores a la 4.6. La empresa, que ya ha publicado un parche de su firmware, sostiene que mantenían ese acceso para actualizaciones remotas a través FTP.

El acceso se establece a través del usuario ‘zyfwp’ y es posible su uso a través de SSH y HTTP/S, siendo en muchos casos estos puertos accesibles a través de internet, especialmente el acceso por HTTPS debido a que la interfaz SSL VPN utiliza ese puerto.

Zyxel ha lanzado ZLD V4.60 Patch 1 para corregir el fallo en dispositivos ATP, USG, USG Flex y VPN vulnerables.

Para los controladores NXC AP no habrá parche hasta abril de 2021, mientras tanto esta es la tabla de productos afectados y su fecha de parche prevista.

ProductoParche
Firewall
Serie ATP con firmware ZLD V4.60ZLD V4.60 Patch1 en diciembre de 2020
Serie USG con firmware ZLD V4.60ZLD V4.60 Patch1 en diciembre de 2020
Serie USG FLEX con firmware ZLD V4.60ZLD V4.60 Patch1 en diciembre de 2020
Serie VPN con firmware ZLD V4.60ZLD V4.60 Patch1 en diciembre de 2020
 
AP
NXC2500V6.10 Patch1 en abril de 2021
NXC5500V6.10 Patch1 en abril de 2021

Fuente: Hispasec