Más de 100.000 firewalls, VPN gateways y controladores de puntos de acceso Zyxel contienen una cuenta de puerta trasera de nivel de administrador codificada que puede otorgar a los atacantes acceso de root a los dispositivos a través de la interfaz SSH o el panel de administración web, identificado como CVE-2020-29583.
La cuenta de puerta trasera, descubierta por un equipo de investigadores de seguridad holandeses de Eye Control, se considera tan mala en términos de vulnerabilidades.
Los expertos en seguridad advierten que cualquier persona, desde operadores de botnet DDoS hasta grupos de piratas informáticos patrocinados por el estado y bandas de ransomware, podría abusar de esta cuenta de puerta trasera para acceder a dispositivos vulnerables y pasar a redes internas para ataques adicionales. Los modelos afectados incluyen muchos de los principales productos de Zyxel de su línea de dispositivos de nivel empresarial, generalmente implementados en redes empresariales privadas y gubernamentales. Esto incluye líneas de productos Zyxel como:
- la serie Unified Security Gateway (USG), utilizada como firewall híbrido y puerta de enlace VPN
- la serie USG FLEX: utilizada como firewall híbrido y puerta de enlace VPN
- la serie VPN, utilizada como puerta de enlace VPN
- la serie NXC: se utiliza como controlador de punto de acceso WLAN
Los investigadores dijeron que la cuenta tenía acceso de root al dispositivo porque se estaba utilizando para instalar actualizaciones de firmware en otros dispositivos Zyxel interconectados a través de FTP.
Actualmente, los parches solo están disponibles para las series ATP, USG, USG Flex y VPN. Se esperan parches para la serie NXC en abril de 2021, según un aviso de Zyxel.
Se recomienda a los administradores de red que apliquen los parches de seguridad, liberados por el fabricante.
Referencia: