Zyxel-apparaten waren kwetsbaar door verborgen gebruikersaccount met wachtwoord

Op zijn minst 28 firewalls en routers van de Taiwanese fabrikant Zyxel waren kwetsbaar voor misbruik dankzij de aanwezigheid van een verborgen gebruikersaccount met wachtwoord, meldt beveiligingsbureau EYE.

Zyxel was zelf verantwoordelijk voor de introductie van de kwetsbaarheid met een firmware-update voor de netwerkapparaten, die het op 10 november vrijgaf. Deze maakte dat het wachtwoord met het verborgen account inzichtelijk werden. Onderzoeker Niels Teusink van EYE meldt aan RTL Nieuws dat hij dat ontdekte.

De netwerkapparaten worden met name in het midden- en kleinbedrijf gebruikt. In Nederland zouden bij zo'n driehonderd bedrijven kwetsbare Zyxel-apparaten staan en wereldwijd zou het om tienduizenden bedrijven kunnen gaan, schat Eye op basis van steekproeven.

Zyxel heeft de kwetsbare firmware op 9 december ingetrokken. In de periode tussen 10 november en 9 december zou zo'n tien procent van de apparaten een update hebben gehad naar de betreffende firmware. Bedrijven dienen die firmware te updaten naar de laatste versie om de kwetsbaarheid ongedaan te maken.

Reacties (102)

jvwou123 23 december 2020 08:34

Ik ben geneigd om te zeggen: deze "backdoor" staat er al een geruime tijd op.

In 2009 heb ik een soort gelijk probleem al gemeld bij Zyxel.
Een gebruiker die standaard aanwezig is, met een veel te makkelijke gebruikersnaam/wachtwoord combinatie. Die kon alleen de config lezen. En een backup maken van de config is ook alleen lezen. Uit die backup kon je de admin ww lezen, en ook b.v. Voip credentials.

In 2009 ben ik weken bezig geweest om Zyxel zo ver te krijgen dat ze het probleem gingen aanpakken, want volgens hun was de firmware veilig. Dat ik door alleen het IP van een Zyxel op te geven, de admin en voip credentials kon laten zien was bijzaak. Hun firmware was veilig.

Na een aantal weken hadden ze een nieuwe firmware, en sinds dien leveren wij geen Zyxel meer aan onze klanten. Ik heb helaas nooit meer gekeken of die user echt weg was.

Kortom: Zyxel is niet het merk dat je wilt hebben om de buiten deur dicht te houden.

edit: ik lees net dat het een ander gebruikersnaam is. Dus dit is een nieuwe versie van de 2009 gebruikersnaam

[Reactie gewijzigd door jvwou123 op 24 juli 2024 00:06]

ucsdcom

@jvwou123 • 23 december 2020 08:46

Ik ben geneigd om te zeggen: deze "backdoor" staat er al een geruime tijd op.

In 2009 heb ik een soort gelijk probleem al gemeld bij Zyxel.
Een gebruiker die standaard aanwezig is, met een veel te makkelijke gebruikersnaam/wachtwoord combinatie. Die kon alleen de config lezen. En een backup maken van de config is ook alleen lezen. Uit die backup kon je de admin ww lezen, en ook b.v. Voip credentials.

In 2009 ben ik weken bezig geweest om Zyxel zo ver te krijgen dat ze het probleem gingen aanpakken, want volgens hun was de firmware veilig. Dat ik door alleen het IP van een Zyxel op te geven, de admin en voip credentials kon laten zien was bijzaak. Hun firmware was veilig.

Na een aantal weken hadden ze een nieuwe firmware, en sinds dien leveren wij geen Zyxel meer aan onze klanten. Ik heb helaas nooit meer gekeken of die user echt weg was.

Kortom: Zyxel is niet het merk dat je wilt hebben om de buiten deur dicht te houden.

edit: ik lees net dat het een ander gebruikersnaam is. Dus dit is een nieuwe versie van de 2009 gebruikersnaam

Huawei wordt als Chinees bedrijf geweerd van netwerken ivm. vermoede backdoors etc. Merken als ZTE en Zyxel kunnen hier net zo goed last van hebben. Misschien is het toch helaas uit voorzorg nodig om meer firma's uit te gaan sluiten als deze gevoelig zouden kunnen zijn om als spionage backdoor gebruikt te worden. Ik vond het al vreemd dat T-Mobile thuis bij het stoppen met Huawei modems over ging naar Zyxel modellen. What's the difference!?

kftnl @ucsdcom • 23 december 2020 11:07

What's the difference!?

Het grootste verschil is dat Huawei opeens op de radar kwam van de politiek omdat ze grote onderdelen van kritieke netwerken (in dit geval vooral 5G) gingen leveren. Dat was een goede manier om de inlichtingendiensten even wakker te schudden.

Voor bedrijven als ZTE bestaan vergelijkbare waarschuwingen, zoals hier nog een maand geleden:

https://www.aljazeera.com...-zte-is-a-security-threat

Echter leek het er even op dat Huawei zo'n belangrijke plek leek te krijgen dat er wel actie genomen moest worden.

[Reactie gewijzigd door kftnl op 24 juli 2024 00:06]

VNA9216 @kftnl • 23 december 2020 12:35

Muah, huawei leverde al een groot deel van de 3G en 4G apparatuur. Het was iirc Cisco die een grote (iirc 4G) opdracht in noord amerika dreigde te verliezen waarna Huawei in ene beschuldigingen aan zn broek kreeg, waarna Huawei per direct geschrapt werd als optie en Cisco de deal kreeg. Sindsdien blijft die verdachtmaking Huawei boven het hoofd hangen. Er zijn intussen zoveel landen bezig geweest om huawei producten te ontleden en backdoors te vinden, maar gek genoeg zijn daar nooit echt concrete bewijzen gevonden.
Imho is dat eigenlijk een reden om Huawei misschien nog wel meer te vertrouwen dan veel andere merken. Bij Huawei zijn er zo veel partijen die iets WILLEN vinden dat op spionage wijst, en ondertussen is er nog niets gemeld door al die landen dier er onderzoek naar doen of hebben gedaan, ik denk dat er relatief weinig hardware zo goed nageplozen word als Huawei spul op het moment, die kunnen zich echt niets veroorloven.

blorf @VNA9216 • 23 december 2020 14:15

Volgens mij is het allemaal flauwekul. Een "backdoor" in Huawei apparatuur, maar in de infrastructuur van een derde valt na isolatie het apparaat hoe dan ook door de mand. Het is simpelweg technisch niet haalbaar.
Hetzelfde was het geval bij de vermeende UTP-stekkers met backdoor. Ok, welk communicatie-protocol wil je gebruiken in het netwerk van een ander voor je spionagedata? Probleem met spionage op afstand is dat er met de spion gecommuniceerd moet worden voordat het werkt. Alle apparatuur van begin tot eind moet in het "complot" zitten, tenzij die stekkers een rechtsstreekse niet te detecteren satelietverbinding gebruiken. In een gebouw wordt dat lastig...

[Reactie gewijzigd door blorf op 24 juli 2024 00:06]

Golodh @blorf • 23 december 2020 19:42

Volgens mij is het allemaal flauwekul.

Dan ben je een van de weinigen die er zo over denkt.

Een "backdoor" in Huawei apparatuur, maar in de infrastructuur van een derde valt na isolatie van het apparaat hoe dan ook door de mand. Het is simpelweg technisch niet haalbaar.

Krom nederlands, een wel erg grote claim, en geen schim van argumentatie dan wel bewijs. Zo gaat 'ie lekker.

Hetzelfde was het geval bij de vermeende UTP-stekkers met backdoor. [...]

Oh ja? Zullen we ons eerst eens met het huidige topic bezighouden alvorens de vage claims in te duiken?

blorf @Golodh • 23 december 2020 20:31

Een "het" teveel. Ik wacht op je inhoudelijke argument. Waar ben je het niet mee eens, en waarom niet?

[Reactie gewijzigd door blorf op 24 juli 2024 00:06]

Oon

@ucsdcom • 23 december 2020 09:00

What's the difference!?

Het feit dat Huawei in een negatief licht gezet wordt door de media, en Zyxel niet. Heeft allemaal absoluut niks met veiligheid te maken.

killercow @Oon • 23 december 2020 10:14

Dat heeft dan ook meer met de begoode intenties van die veiligheidsissues te maken. Een foutje kan, een stomme fout ook nog wel, maar geeft nieuws (zoals nu), maar een staats-gesponsord bedrijf dat op allerlei super-kritische plekken super-kirtische security issues introduceert en ze daarnaast wel goed probeert te verbergen? Dan krijg je terecht de volle aandacht omdat het dan wellicht over Spionage gaat ipv foutjes.

Cergorach

Beveiliging en antivirus

@killercow • 23 december 2020 10:39

Ik ben van mening dat dit niet het grootste issue is, maar dat wie het doet veel belangrijker is. Vroeger was het rode gevaar (ussr) de grote boosdoener, toen die inklapte was het de terroristen in het midden-oosten, tegenwoordig is het China...

TheVivaldi @killercow • 23 december 2020 11:53

Maar dan zul je eerst moeten bewijzen dat de staat verantwoordelijk is voor de issues. Stel dat je dat overal zou doen: "geen sloten meer van fabrikant xyz omdat ze geen veilige sloten leveren" terwijl blijkt dat de conciërge de deuren niet goed op slot deed...

SED @killercow • 23 december 2020 12:17

En welke super kritisch lek hebben ze proberen te verbergen?.
Er is nog nooit bewijs geleverd voor de beschuldigingen tegen Huawei.

Golodh @Oon • 23 december 2020 19:53

Voor wie het misschien nog niet was opgevallen: Huawei komt uit een land waar de overheid (1) dictatoriaal is (2) concentratiekampen runt en welbewust genocide pleegt op b.v. Oeigoeren en (3) zich tegenover hun buurlanden als een aggressieve imperialistische bullebak gedraagt.

En dat noem jij "in een negatief daglicht zetten"? Ik zie het meer als waarschuwen voor het zoveelste tirannieke regime met aggressieve plannen.

Het feit dat Huawei in een negatief licht gezet wordt door de media, en Zyxel niet. Heeft allemaal absoluut niks met veiligheid te maken.

Is het misschien al eens bij je opgekomen dat China (net als hun frisse buur Noord Korea) als sinds een decennium bezig is om systematisch computerinbraak te gebruiken om (a) zoveel mogelijk bedrijfsgeheimen te stelen en (b) zoveel mogelijk te infiltreren in Westelijke communicatie infrastructuur?

En dat het in dat land voor zowel burgers als bedrijven onmogelijk is om 'nee' te zeggen tegen welk overheidsverzoek dan ook (voor wie niet het gevang in wil draaien)?

En jij dacht werkelijk dat in die situatie het geen veiligheidsaspect heeft om apparatuur van dat bedrijf in je netwerk toe te laten? Is nou dat echt serieus bedoeld?

Oon

@Golodh • 24 december 2020 03:59

En jij dacht werkelijk dat in die situatie het geen veiligheidsaspect heeft om apparatuur van dat bedrijf in je netwerk toe te laten? Is nou dat echt serieus bedoeld?

Dat zeg ik helemaal niet, ik zeg alleen dat dat niet de reden is. Ze laten namelijk wel andere apparaten van Chinese bodem toe.

Ze ondernemen nu actie omdat Huawei aandacht krijgt van de media, en ze kunnen laten zien dat ze er iets aan doen, in veel gevallen gaan ze voor andere apparaten die niet veel beter zijn voor de veiligheid maar wel beter zijn voor de PR.

boschhd @Oon • 23 december 2020 09:53

media veiligheidsdiensten.

tweaknico @ucsdcom • 23 december 2020 14:48

Huawei is een Chinees bedrijf vallend onder de Volks Republiek China, terwijl Zyxel uit Taiwan komt en De volksrepubliek China wil Taiwan graag inlijven.
Vooralsnog is Taiwan een onafhankelijke staat.

Dus er is nog al een verschil. (op dit moment).

[Reactie gewijzigd door tweaknico op 24 juli 2024 00:06]

Lrrr

@ucsdcom • 23 december 2020 20:14

What's the difference!?

Dat Zyxel Taiwanees is?

Luppie @Kevinp • 23 december 2020 10:36

Bron??

zenlord @Luppie • 23 december 2020 11:01

@Kevinp verwijst waarschijnlijk hier naar: https://techcrunch.com/20...wanting-crypto-backdoors/

De CoEU heeft nergens beweerd dat backdoors moeten beschikbaar gesteld worden, maar hun positietekst is allesbehalve duidelijk over wat ze nu eigenlijk wél willen (in geval van bepaalde misdrijven zoals terorrisme moet de overheid gericht en proportioneel toegang kunnen hebben tot de data...). Ofwel is data E2EE, en dan kan je enkel bij de endpoints terecht om toegang tot de data te krijgen (door de beweerde crimineel te martelen of zo?

), ofwel bestaat er een backdoor, en dan ligt alle data mogelijk voor het grijpen.

Ik zie niet onmiddellijk ruimte voor een middenweg in het geval van E2EE.

casberrypi @Kevinp • 23 december 2020 14:58

Ik denk dat je een -1 krijgt voor het kapen van een onderwerp en het opeens 90 graden de andere kant opsturen.

Backdoors in devices met accounts is een héél ander ding dan de EU die graag controle zou willen hebben over gebruike encryptietechnieken in messaging. Dan volgt natuurlijk de discussie om de technische onhaalbaarheid of de maatschappelijke onhaalbaarheid van dat laatste.

Dit heeft allemaal niets te maken met de EU die in jouw thuisrouter zou willen zitten. Dat is namelijk niet waar. Opsporingsdiensten mogen dat vast proberen als daar een gegronde reden voor is overigens, al dan niet met tussenkomst van een rechtbank. Daar heeft de EU verder ook niets mee te maken overigens.

DeKaerften @jvwou123 • 23 december 2020 09:08

Weet je toevallig of het account, dat jij had gevonden, hetzelfde account is, als waar het in dit bericht over gaat?

jvwou123 @DeKaerften • 23 december 2020 09:20

Het is een ander account. In de link van @abusimbal https://www.tenable.com/cve/CVE-2020-29583, wordt gesproken over zyfwp. Het account dat ik in 2009 had was user. Ja gebruikersnaam: user, en wachtwoord user. En daarmee kon je de hele zyxel uitlezen, en Zyxel maar zeggen dat er geen probleem was.

Martijn033 @jvwou123 • 23 december 2020 09:54

gebruikersnaam: user, en wachtwoord user

Nog net niet admin met wachtwoord admin (zoals destijds bij VOIP-routers van Cisco die door het Amerikaanse leger bleken te worden gebruikt), maar dit is wel van hetzelfde niveau.

SanSnoopy @Martijn033 • 23 december 2020 10:42

Hm, je vindt een compleet verborgen admin-account hetzelfde als default admin-credentials waarmee je zulk spul initieel kan configureren en die je sowieso zou moeten veranderen post-deployment? Apart

tweaknico @Martijn033 • 23 december 2020 14:52

Nee het default admin account heeft: username admin met wachtwoord 1234. Maar dat zou je tegenwoordig als het goed is moeten aanpassen.
De software in 2009 was vermoedelijk ZyNOS, de huidge gerenratie is in kern een linux bak + webbased frontend.

Cageman1984 @jvwou123 • 23 december 2020 11:49

en ook b.v. Voip credentials.

Interessant! Ik ben overgestapt naar T-Mobile (zyxel T50 uit mijn hoofd) en kreeg de VoIP gegevens niet voor mijn eigen router (Om de kwaliteit te waarborgen). Vervolgens maar naar een andere VoIP dienst overgestapt. Dat duurde lang en was niet zo maar gedaan. Zeker ook om de kwaliteit te waarborgen? (De overstap stop zetten kon binnen een minuut overigens).

Je hoeft me zeker geen credentials te verstrekken, maar kon je aan die gegevens de reden zien waarom T-Mobile ze niet afgaf? Ik heb het me altijd afgevraagd.

[Reactie gewijzigd door Cageman1984 op 24 juli 2024 00:06]

jvwou123 @Cageman1984 • 23 december 2020 11:55

Ik kan me wel voorstellen dat een provider wil dat je op hun apparatuur de VOIP gegevens hebt, om inderdaad de kwaliteit te waarborgen. Met je eigen hardware heb je getest, en weet je dat het goed moet zijn, met willekeurige hardware waar eind gebruikers mee aankomen weet je niet hoe die omgaan met de gebruikte sip-protocollen.
Een apparaat dat goed uit een test komt betekend niet direct dat het ook bij de geleverde VOIP dienst goed werkt.

tweaknico @Cageman1984 • 23 december 2020 15:06

Het probleem is iets anders met die credential.
Als je de credentials weet kun je ook vanuit andere locaties op het internet inloggen bij de accounts.
(of de gegevens kwijtraken op een ander platform en kunnen er een hoop misbruik van maken, en bij een PBX worden dagelijks duizenden pogingen gedaan of ze ww / accounts kunnen raden in de hoop gratis voor grote bedragen weg te kunnen bellen).

Niet raar opkijken als je ineens een rekening krijgt van een paar duizend euro die binnen een uur bij elkaar gebeld zijn. VOIP systemen goed beveiligen is werkelijk een dingetje.

djwice

@jvwou123 • 23 december 2020 12:30

Heb zelfde ervaring. Op routers van dit merk heb ik meerdere keren een admin user gevonden die op alle geteste routers geleverd door een NL internet provider werkte.

Dat is inderdaad begonnen rond de tijden die jij aangeeft. Het mooie was dat de web interface (GUI) een decoder had voor wachtwoorden. Dus toen ik het versleutelde wachtwoord gevonden had kon ik deze simpel via de GUI ontsleutelt zichtbaar maken.

Een paar maanden na mijn ontdekking is het wachtwoord gewijzigd en een bepaalde URL onbeschikbaar gemaakt, uiteraard maakte dat niets uit voor de gebruikte methode.

[hint voor provider medewerkers] De overname van Telfort door KPN zorgt voor dagelijks diverse kleine verstoringen van de internet verbinding.

[Reactie gewijzigd door djwice op 24 juli 2024 00:06]

mk1311 @jvwou123 • 24 december 2020 16:59

Wil je dit ding niet in huis hebben neem dan Geen T-Mobile internet , de rest van de router is wat je kan verwachten van een product dat dit soort fouten maakt, volgend jaar snel terug naar Budget / KPN Experia Box

jlaarts @mk1311 • 25 december 2020 00:45

Ik raak een beetje het overzicht kwijt. Mocht je bedoelen te zeggen: als je van de Zyxel T-50 af wilt komen dan moet je overstappen, dan kan ik je uit de droom helpen. Ik ben als jaren in het bezit van een Fritzbox 3490 die het uitstekend deed op ADSL van achtereenvolgens KPN, Telfort en Youfone (die allemaal van hetzelfde KPN netwerk gebruik maken). Toen KPN wholesale echter in maart vrolijk mijn ADSL snelheid halveerde naar iets van 14 Mb/s (28 mb/s wás al niet bijzonder veel als je betaald voor 50 Mb/s) en er - evenmin als Youfone - iets aan wenste te doen, ben ik maar naar T-Mobile (glas) overgestapt. T-Mobile levert daarvoor een mediaconverter + Zyxel T-50. Maar dankzij de inspanningen van met name één van onze Tweakers (zie elders binnen Tweakers.net) kun je desgewenst óók gebruik blijven maken van een Fritzbox (diverse modellen). In de firmware daarvan is namelijk een optie opgenomen om dit modem ook op "T-mobile Thuis Glasvezel" aan te sluiten. Daarmee lijkt mij het Zyxel modem (dat op zich bovendien uitstekend presteert) helemaal geen goed argument om naar KPN te switchen. Enne.. waarom was ik ook al weer naar de Fritzbox overgestapt? Juist: omdat de toenmalige Experiabox 8 van KPN niet fatsoenlijk functioneerde (meerdere malen per dag viel spontaan de Wifi weg). Versie 10 heb ik daarna nooit meer aangesloten...

Benjamin1988 @jvwou123 • 25 december 2020 02:47

Hi,

Heb jij een naam met wie je destijds hebt gesproken, ik ben een oud werknemer en kan evt dit nogmaals opgooien mocht je dit willen, hoor het graag van je via PM.

Gr Nick

abusimbal

23 december 2020 08:31

Hier staat meer info:
https://www.tenable.com/cve/CVE-2020-29583

Opgelost met ZLD4.60 Patch 1 Release

Firmware version 4.60 of Zyxel USG devices contains an undocumented account (zyfwp) with an unchangeable password. The password for this account can be found in cleartext in the firmware. This account can be used by someone to login to the ssh server or web interface with admin privileges.

https://cve.mitre.org/cgi...e.cgi?name=CVE-2020-29583

[Reactie gewijzigd door abusimbal op 24 juli 2024 00:06]

Gerwin486741 23 december 2020 08:35

Ik heb een Zyxel T50 staan, maar die is door T-mobile zo vreselijk verbouwd met hun eigen software dat zelfs de "administrator" geen echte administrator is maar een useprofile met admin als naam.
Denk/hoop dat deze niet kwetsbaar is

DigitalExorcist @Gerwin486741 • 23 december 2020 09:53

Dan zal er allicht een verborgen account in zitten die wél echt admin is...

Chris.nl @DigitalExorcist • 23 december 2020 10:21

Via de T-Mobile site kan je sommige instellingen aanpassen (bv WiFi naam/wachtwoord) van de zyxel. Dus meer een feature dan verborgen.

tweaknico @Chris.nl • 23 december 2020 15:28

Dat kan ook met behulp van T-069.
(remote configuration protocol..., ook niet sterk beveiligd.)

jlaarts @Chris.nl • 25 december 2020 00:49

Dag Chris, Wifi naam(SSID) én wachtwoord kun je gewoon in het modem zelf aanpassen, daar heb je de site van T-mobile niet voor nodig (en ook geen internet).Overigens wist ik dan weer niet dat dit blijkbaar ook via de site kan, dat ga ik straks eens nakijken.

Chris.nl @jlaarts • 25 december 2020 01:21

Klopt wat je zegt, maar die feature heeft T-Mobile dus ingebouwd. Ben er zelf geen fan van, hoe veilig ook. Heb zelf een EdgeRouter met als eerste regel in de config:
firewall {
all-ping disable
Liever dat dan functionaliteit om vanaf internet m'n router/thuisnetwerk te kunnen benaderen/aanpassen. 'k Heb tenminste niet standaard een service/protocol open staan om vanaf WAN exploited te worden (in de zero-day toekomst). Al krijg je CVE patches, je loopt achter de feiten aan.

[Reactie gewijzigd door Chris.nl op 24 juli 2024 00:06]

Gerwin486741 @DigitalExorcist • 23 december 2020 10:26

Dat is ook zo inderdaad.

Zie https://th0mas.nl/2020/03...zyxel-vmg8825-t50-router/

nervwrecker @Gerwin486741 • 23 december 2020 09:42

Zo te zien gaat het (gelukkig)niet om de modems die t mobile van zyxel gebruikt (t50).

zie dit lijstje

https://businessforum.zyx...and-wk48-firmware-release

ZatarraNL

@Gerwin486741 • 23 december 2020 09:27

Hier idem. Ik zou wel graag willen weten of ik hier nog actie voor moet ondernemen.

Cageman1984 @Gerwin486741 • 23 december 2020 11:52

Ik had hem ook. Niet echt tevreden over en vervangen door een Fritz box 7590.

Drs_Ben 23 december 2020 08:16

Om welke modellen gaat het?
Ik kan dit nergens terug vinden.

En welke firmware versies ?

[Reactie gewijzigd door Drs_Ben op 24 juli 2024 00:06]

batjes @Drs_Ben • 23 december 2020 08:28

Ik ben ook wel benieuwd, heb hier een Zyxel van Online staan die never nooit updates heeft ontvangen. Zou ook fijn zijn als men kan aangeven of dit account alleen lokaal misbruikt kan worden, lijkt me van wel tenzij je de routeradmin pagina naar buiten open heb staan, maar dit is me in het verleden bij die Zyxels van Telfort wel eens per ongeluk voorgekomen.

EDIT: nvm, achterdeur is met een update meegekomen, heb dus nergens last van.

[Reactie gewijzigd door batjes op 24 juli 2024 00:06]

Drs_Ben @batjes • 23 december 2020 08:35

Ik ga straks om 9 uur direct mijn leverancier bellen..
Ik heb zo'n 100 Zyxel firewalls van diverse soorten bij klanten staan. Uiteraard is de admin pagina wel afgeschermd maar dan nog...

Frappuccino @Drs_Ben • 23 december 2020 09:04

Als jouw klanten dit artikel zouden lezen lijkt het me logischer dat zij jou gaan bellen.

De Mediamarkt belt z'n leverancier toch ook niet als er een firmware-update voor tv's is die zij verkocht hebben?

Strebor

@Frappuccino • 23 december 2020 09:10

Als @Drs_Ben zijn leverancier belt, dan kan hij vervolgens zijn bellende klanten te woord staan 😜

Drs_Ben @Strebor • 23 december 2020 09:50

Precies.. Niet dat ze gaan bellen hoor. Maar wij doen het beheer en ik wil weten welke modellen en dus welke klanten mogelijk vatbaar zijn.
Mijn leverancier/aanspreekpunt staat in direct contact met Zyxel en heeft dus sneller informatie beschikbaar.

Dit gaat dus om alle USG/ATM modellen met versie 4.60.

Daarvan had ik slechts 1 klant draaien op deze firmware en deze is inmiddels ingelicht en de firmware upgrade is ingepland voor vanavond. (web interface/ssh is alleen toegankelijk via ons WAN adres).

poing @Frappuccino • 23 december 2020 09:12

Dat heet proactief zijn
Als de klant het al leest... zijn misschien niet allemaal ITers

[Reactie gewijzigd door poing op 24 juli 2024 00:06]

Frappuccino @poing • 23 december 2020 09:31

Wat kan zijn leverancier er aan doen dan?

Als hij ze in beheer heeft voor z'n klanten zal hij de update bij z'n klanten uit moeten voeren.

Volgens mij kan zijn leverancier hier weinig tot niks betekenen.

k995 @Frappuccino • 23 december 2020 13:48

Dat heet goede service aanbieden.

DutchHammer @Frappuccino • 23 december 2020 09:08

Maar als hij die krengen ook beheerd voor zijn klanten is het ineens een ander verhaal...

Firestorm @Drs_Ben • 23 december 2020 15:52

https://businessforum.zyx...and-wk48-firmware-release

DigitalExorcist 23 december 2020 08:13

Maar... is dat account met de nieuwste update dan weggehaald of alleen maar weer onzichtbaar gemaakt...?

jojo buitenzorg @DigitalExorcist • 23 december 2020 08:15

Inderdaad , dit suggereert dat alleen de zichtbaarheid is teruggedraaid. Je wil dat die account helemaal weg is na de nieuwste update.

jaspov @jojo buitenzorg • 23 december 2020 08:25

Zo lees ik hem ook. Op de gelinkte site krijg ik het idee dat deze firmware een account toevoegt en dat dat account te herleiden is uit de update. Suggereert dat het account er daarvoor nog niet was.

kakanox @DigitalExorcist • 23 december 2020 15:55

Dat zou te testen moeten zijn. Kijk naar de accountnaam en probeer dat account aan te maken na de update.

DigitalExorcist @kakanox • 23 december 2020 17:16

Ja, tenzij er een letter gewijzigd is in de username of password... zó onnozel zullen ze daar toch niet zijn 🤔

kakanox @DigitalExorcist • 23 december 2020 17:24

In de username dan idd.

Udrene 23 december 2020 08:19

Deze maakte dat het wachtwoord met het verborgen account inzichtelijk werden.

Dus het zit er al langer maar werd nu pas ontdekt? Dus niet echt een merk om in je netwerk te hangen dus.

[Reactie gewijzigd door Udrene op 24 juli 2024 00:06]

Bedenker @Udrene • 23 december 2020 08:24

In de update zat een verborgen gebruikers account volgens Teusink.
Dus het apparaat is geïnjecteerd met een verborgen gebruikers account incl. wachtwoord.
Kans is groot dat na de nieuwe update dat de account nog steeds bestaat...

@r!k @Bedenker • 23 december 2020 08:43

Ik vermoed dat de kans groter is dat de gebruikersnaam en wachtwoord veranderd zijn en de zichtbaarheid hiervan weer uit de firmware is gehaald.

GhostShinigami 23 december 2020 08:36

Uit het bron artikel: "Zyxel maakt ook netwerkproducten voor consumenten, maar die zijn niet geraakt door deze kwetsbaarheid." (maar vertrouwen in ze geeft dit niet echt..)
Dus routers zoals t-mobile internet gebruikt zijn niet getroffen.. als ik dat zo lees.
Maar wat een fout zeg, dus waarschijnlijk een interne test user met vermoedelijk een simpel wachtwoord.. lekker dan als ze dat ineens op je router er bij stoppen. Ik mag toch hopen dat op de meeste netwerken je niet bij de management console van je firewall/router van buitenaf kan komen, maar toch..

Maar het artikel is niet heel erg duidelijk wat er nou precies wel en niet getroffen is, het gedeelte dat consumenten routers niet geraakt zijn kan denk ik wel vermeld worden in het artikel voor iets meer duidelijkheid.

[Reactie gewijzigd door GhostShinigami op 24 juli 2024 00:06]

beerse @GhostShinigami • 23 december 2020 08:45

De vraag is ook waar de grens ligt tussen consumenten producten en niet-consumenten producten. Uiteindelijk is het de klant die bepaalt wat ze in huis halen en gebruiken.
Er zijn genoeg consumenten die in de ogen van de leverancier/marketing een zakelijk product gebruiken.
Er zijn genoeg zakelijk klanten die in de ogen van de leverancier/marketing een consumenten product gebruiken.

Zelf heb ik geen zicht op de zyxel producten maar als ik naar leveranciers als avm en qnap kijk, dan zie ik dat ze de zelfde firmware/os versie/revisie op alle apparatuur gebruiken. De grote verschillen zitten daar in de hardware en de geïnstalleerde en geconfigureerde zaken. Van Zyxel zou ik zomaar een vergelijkbare instelling verwachten.

HDoc @beerse • 25 december 2020 00:24

De vraag is ook waar de grens ligt tussen consumenten producten en niet-consumenten producten. (...)
Zelf heb ik geen zicht op de zyxel producten maar als ik naar leveranciers als avm en qnap kijk, dan zie ik dat ze de zelfde firmware/os versie/revisie op alle apparatuur gebruiken.

En dan nog kunnen ook dezen steken laten vallen. Ben ooit ten prooi gevallen aan QNAP malware, bleek al meer dan een jaar een onopgelost probleem te zijn op hun NAS software.

bbob @GhostShinigami • 23 december 2020 08:45

Je kan het ookzo lezen dat voor consumenten er weinig met backdoor te halen is als je dat ook op netwerkniveau kan doen bij grotere bedrijven of providers.

Theone098 23 december 2020 09:54

Security through obscurity. Weten ze nou nog niet dat dit niet werkt, bij Zyxel?

Tegen figuren zoals Jackie Moon zijn gewoon maatregelen bedacht, o.a.: 4 ogen principe, code reviews, code signing, in productie plaatsen door een andere dan de programmeur (segregation of duties), programmeur geen toegang tot productie omgeving.

Jackie Moon @Theone098 • 23 december 2020 09:56

Exactly, maar niet in de jaren 90.

Theone098 @Jackie Moon • 23 december 2020 10:06

Inderdaad. Maar mag toch hopen dat deze firmware niet uit de jaren 90 stamt.
Zyxel heeft zijn zaakjes niet op orde / neemt security van de producten niet serieus (genoeg).

Skit3000

23 december 2020 08:25

Zyxel was zelf verantwoordelijk voor de introductie van de kwetsbaarheid met een firmware-update voor de netwerkapparaten, die het op 10 november vrijgaf. Deze maakte dat het wachtwoord met het verborgen account inzichtelijk werden.

Het moment dat de kwetsbaarheid zichtbaar werd was natuurlijk niet het moment dat deze werd geïntroduceerd. Dat account stond al op de apparaten. Iemand die eerder al bijvoorbeeld door middel van bruteforcen heeft gekeken of er verborgen accounts bestonden had dus misschien al lange tijd toegang tot deze apparaten.

[Reactie gewijzigd door Skit3000 op 24 juli 2024 00:06]

runnershigh

@Skit3000 • 23 december 2020 10:45

[...]
Het moment dat de kwetsbaarheid zichtbaar werd was natuurlijk niet het moment dat deze werd geïntroduceerd. Dat account stond al op de apparaten.

Heb je daar een bron voor? Dit klinkt als een uit de lucht gegrepen complottheorie.

Nu de accountgegevens bekend zijn, kan iedereen eenvoudig verifiëren of dat account ook al bestond op een apparaat met een firmware van voor 10 november.

bankrupcy 23 december 2020 09:19

Kunnen andere leveranciers van netwerkapparatuur ook zo´n truuk uithalen? Want als zij het kunnen, dat kunnen China, Taiwan, en de VS het ook.

tweaknico @bankrupcy • 23 december 2020 16:27

Ja, De NSA heeft een tijd lang CISCO apparatuur voor de export voorzien van alternatieve bootrooms. met een backdoor. (zonder medeweten van Cisco overigens.

Een "backdoor account" is all veel vaker vertoond, en vaak denken fabrikanten dat het blijft werken.
(helaas)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (102)

Sorteer op:

Weergave: