Zyxel ferme une importante porte dérobée dans ses produits
Le 04 janvier 2021 à 09h58
2 min
Sciences et espace
Sciences
Le constructeur taiwanais, spécialisé dans les produits réseau, a publié le 18 décembre un firmware corrigé pour bon nombre de ses produits, incluant Unified Security Gateway (USG), USG FLEX, ATP ou encore ses pare-feux.
Dans le détail, Zyxel n’en ressort pas grandi. La faille – CVE-2020-29583 – était en effet volontaire, provenant d’un compte secret (« zyfwp »), malheureusement accompagné de droits administrateurs et surtout d’un mot de passe non modifiable car codé « en dur » dans les produits (« PrOw!aN_fXp »).
Mais pourquoi un tel compte ? Selon le constructeur, il n’était présent que pour assurer la distribution automatique des firmwares aux points d’accès connectés à travers FTP. Pour le chercheur en sécurité Niels Teusink qui a rapporté la brèche à Zyxel le 29 novembre, il s’agit très clairement d’une vulnérabilité critique : « un pirate pourrait compromettre complètement la confidentialité, l’intégrité et la disponibilité de l’appareil ».
Il détaille : « Quelqu’un pourrait par exemple modifier les paramètres du pare-feu pour autoriser ou bloquer un certain trafic. Ils pourraient également intercepter du trafic ou créer des comptes VPN pour obtenir un accès au réseau derrière l’appareil. Combiné avec une vulnérabilité comme Zerologon, ce pourrait être dévastateur pour les petites et moyennes entreprises », faisant référence à une importante faille de Windows Server découverte il y a quelques mois.
Le 04 janvier 2021 à 09h58
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/01/2021 à 11h31
Ne jamais acheter de produits d’une telle société.
Pourquoi les fabriquants n’ont pas l’obligation légale d’indiquer l’existence de comptes propriétaires et l’interdiction des mots de passe non modifiables ? Ca ferait le ménage.
Le 04/01/2021 à 12h33
@Equilibrium
Recherchez les mots clés “NSA” et “CIA”. Il n’y a bien que des décideurs européens, naïfs, crédules et stupides comme nos gouvernants, qui n’ont toujours pas compris que le matériel américain n’est pas plus sécurisé que le chinois…
Le 04/01/2021 à 13h35
À peu près toutes les marques sont concernées à un moment ou à un autre… Entre les portes dérobées de “debug” oubliées, celles volontairement cachées par le fabricant pour des objectifs plus ou moins légitimes (mise à jour ici), et les portes pour les services de renseignements (et ce n’est pas que la Chine, ni les US… la France fabrique aussi du matos réseau, Stormshield par ex)…
Le 04/01/2021 à 14h43
Ok, donc un parefeu opensource permettrait de résoudre le problème : Chaque entreprise pourrait monter le sien et contrôler l’absence de backdoor et mauvaises pratiques.
Recommendez-vous pfsense pour du parefeu d’entreprise ?
Le 04/01/2021 à 14h50
Typiquement l’ANSSI conseille de ne pas avoir tout son matériel réseau avec une seule marque, notamment les parefeu.
Le 04/01/2021 à 15h02
On va pas mettre un Cisco, derrière un Zyxel, derrière un Stormshield, derrière un Fortinet ? Si ?
Donc faut-il mettre systématiquement un pfsense derrière un parefeu propriétaire ?
Le 05/01/2021 à 14h12
2 pare-feux différents, si, et c’est suffisant.
Cela permet entres autres de ne pas se faire enfoncer direct par propagation d’une faille commune à toute une marque (coucou Cisco), et de couper des flux implicites (comme ici les flux FTP si il n’y a pas à faire sortir du FTP en direct, ce qui, de toute façon, n’est pas une bonne idée).
Pour la question de pfSense: attention à la difficulté pour certains admins novices (bah oui, ça existe, et j’ai l’impression que c’est loin d’être anecdotique), car, comparativement, un SNS Stormshield, un Zyxel pour ne citer que ceux qui ont déjà été cités, sont des jouets à côté des capacités de configuration de PfSense :)
Après, l’avantage des Stormshield, est d’être une marque de Airbus DS, du coup, il y a eu un gros coup de pouce de l’ANSSI… même si il reste des aberrations «sécu» d’un autre temps, comme l’accès SSH exclusivement possible depuis le compte «admin» qui est LE compte root (non, on ne peut même pas le renommer ce compte, et d’ailleurs, du coup, l’ANSSI recommande de n’ouvrir l’accès SSH que en dernier recours, avec changement de mot de passe dans la foulée)
Le 04/01/2021 à 14h57
Sauf si c’est LibreOffice, on a connu mieux en parefeu
Le 04/01/2021 à 16h04
Vu les derniers soucis : Zyxel, solarwind & co, ça semble une solution sage…
Ou peut-être se passer directement des solutions proprios et financer avec l’argent économisé des projets opensource ?
Le 04/01/2021 à 18h35
Sans tomber dans la parano, les contraintes de production/test sont également un bon filon! Le pire étant ceux qui n’utilisent pas un compte admin/root bien classique qui va renvoyer des millions de match sur une recherche…
Le 05/01/2021 à 07h16
un compte admin codé en dur utilisé en FTP (donc sur du trafic en clair donc).
Il est probable que cette faille était connue comme le loup blanc (il suffit de sniffer le trafic pendant un upgrade pour voir passer en clair user/ mdp), si ça se trouve c’était dans l’URL ftp: // login:mdp @ adresse/… donc lisible dans n’importe quel log réseau (FAI, VPN, proxy…)
Déjà les mots de passe root en dur sur tous les router c’est pas folichon : Il suffit d’éditer une étiquette avec le mot de passe généré (unique) à coller sur le router, ou à défaut que le nouveau router refuse de fonctionner tant que le mot de passe initial n’est pas changé !
Le 05/01/2021 à 08h57
Tu peux enlever le mot “route(u)r” de ta phrase : J’en connais encore un paquet qui ont un mot de passe root/admin local unique sur l’ensemble de leurs systèmes. C’est pas comme si les solutions pour effectuer la rotation de ce genre de chose tout comme l’usage de certif existait depuis 10-20ans en plus.
Le 05/01/2021 à 09h31
Ce qui se produit notamment quand le service informatique d’une boîte est inexistant et donc que tout le monde et personne ne gère le SI.
Le 06/01/2021 à 07h18
Effectivement mais c’est un autre pb (quoique “PrOw!aN_fXp” permet peut-être d’entrer sur pas mal de serveur Zyxel :) )
La solution de l’étiquette ou du mot de passe ne va pas empêcher de mettre le même mot de passe partout (au contraire les adeptes du mot de passe unique devaient déjà le changer) mais permet de sécuriser l’usage de ces engins chez des particuliers.