Descubierta una vulnerabilidad en los dispositivos ZyXel

“Zyfwp”, una cuenta con nivel de administrador con una contraseña codificada, descubierta en varios dispositivos de red fabricados por ZyXel.

Esta Navidad, el investigador Niels Teusink de la empresa holandesa EYE informó sobre una vulnerabilidad en el equipo Zyxel: una cuenta con nivel de administrador indocumentada llamada “zyfwp” con una contraseña codificada en varios hardware cortafuegos y controladores inalámbricos. El problema es que el código de firmware contiene la contraseña, pero esta no está cifrada. Por tanto, se recomienda a los propietarios que actualicen su firmware con urgencia.

¿Cuáles son los riesgos?

La cuenta permite que un extraño se conecte al dispositivo a través de una interfaz web o el protocolo SSH, obteniendo acceso con un nivel de administrador. Además, la cuenta no se puede deshabilitar y la contraseña no se puede cambiar. En decir, no es posible eliminar la vulnerabilidad cambiando la configuración del dispositivo.

De acuerdo con Teusink, resulta especialmente peligroso el uso del puerto 443 para SSL VPN en algunos dispositivos, además de su uso normal para el acceso a la interfaz web. Por lo tanto, en numerosas redes, el puerto queda abierto al acceso desde Internet. Actualmente, el acceso remoto a los recursos corporativos tiene una demanda particularmente alta, debido a que muchos empleados de todo el mundo se encuentran trabajando desde casa con motivo de la pandemia del coronavirus.

La puerta de enlace de VPN permite a los usuarios crear nuevas cuentas para acceder a los recursos dentro del perímetro corporativo. Y la vulnerabilidad también puede permitir a los atacantes reconfigurar el dispositivo y bloquear o interceptar el tráfico.

El investigador se abstuvo de publicar la contraseña por motivos de ética y seguridad, pero su mensaje explica dónde encontrarla, por lo que varios medios de ciberseguridad ya la han hecho pública. Incluso los ciberdelincuentes no calificados ahora pueden aprovechar la vulnerabilidad, lo que hace que la situación resulte particularmente precaria.

¿Qué dispositivos son vulnerables?

La vulnerabilidad afecta a los dispositivos cortafuegos para pequeñas empresas de las series ATP, USG, USG FLEX y VPN con la versión de firmware ZLD v4.60. La lista completa de los modelos que necesitan una actualización de firmware inmediata, junto con los enlaces a los parches pertinentes, está disponible en el sitio web de ZyXel.

Esta lista de dispositivos vulnerables también incluye los controladores inalámbricos de red NXC2500 y NXC5500 con versiones de firmware v6.00 a v6.10, pero sus parches aún no están disponibles. ZyXel ha prometido su lanzamiento para el 8 de enero.

La vulnerabilidad no afecta a las versiones de firmware más antiguas, pero eso no significa que sus propietarios no tengan nada que temer. El nuevo firmware se habrá creado por alguna razón, a menudo más de una, y mantener los dispositivos actualizados ayuda a mantenerlos seguros.

Qué hacer

Para empezar, actualiza de inmediato el firmware de cualquier dispositivo vulnerable con los parches disponibles en los foros de ZyXel. Si aún no hay parches disponibles para tus dispositivos, sigue de cerca los foros y realiza la actualización tan pronto como se publique.

Además, te recomendamos que fortalezcas la seguridad de las estaciones de trabajo. Los ordenadores de los empleados deben protegerse antes de que un atacante pueda acceder a la red corporativa.

Consejos