Zyxel geeft hackbare firewalls eerst 'mitigation firmware'

Aanvallen op gebruikers van Zyxel-netwerkapparatuur worden mede gefaciliteerd door verborgen accounts, maar die zijn ditmaal niet vanuit de fabrikant meegeleverd. Zyxel antwoordt dit op vragen van AG Connect. "Deze 'onbekende accounts' die we hebben genoemd in onze brief aan klanten waren NIET ingebouwd door Zyxel. Ze waren aangemaakt door aanvallers in de getroffen netwerkconfiguraties van klanten, en daardoor voorheen niet bekend voor gebruikers én voor Zyxel."

Jasper BakkerredacteurMeer van deze auteur

Pleister met bloed — © CC0 - MaxPixel

CC0 - MaxPixel

De Taiwanese PR-manager van Zyxel Networks haalt met deze verklaring de verdenking van verborgen beheeraccounts weg. Die verdenking is opgekomen nadat het bedrijf vorige week klanten is gaan waarschuwen voor kaping van hun netwerkapparatuur. Deze actuele beveiligingskwestie staat daarmee in contrast met een eerder security-incident bij deze leverancier van apparatuur voor netwerksecurity. Eind vorig jaar is een geheim, ingebouwd beheeraccount ontdekt door het Nederlandse securitybedrijf EYE Control.

2 securityrampen verder

De waarschuwing van Zyxel aan klanten is qua aandacht inmiddels misschien overspoeld door de meerdere kwetsbaarheden (met publieke exploitcode) in de printserverfunctie van Windows én daarna nog de grote ransomwareaanval via Kaseya-beheersoftware. Voor netwerkbeheerders en securityprofessionals vereist de Zyxel-zaak echter ook nog aandacht.

Aanvallers proberen via de WAN-interface van Zyxel-apparaten in USG/Zywall-, USG FLEX-, ATP- en VPN-series contact te leggen, om uiteindelijk via de verborgen accounts eigen beschermde verbindingen op te zetten. Het is nog niet bekend hoe de aanvallers de voorheen onbekende accounts (zoals 'zyxel_sllvpn', 'zyxel_ts' of 'zyxel_vpn_test') weten aan te maken. Vragen hierover zijn uitgezet bij de leverancier.

Beperking beperkt

Zyxel heeft al wel verklaard dat het met 'mitigation firmware' komt. Vragen aan de Taiwanese woordvoerster wat die firmware dan precies brengt, leveren een zelfverwijzend antwoord op. De mitigation firmware (wat dan versie 4.64 van de ZLD-firmware voor de USG/ZyWALL-series is en ZLD-versie 5.01 voor USG FLEX-, ATP-, en VPN-series) biedt mitigations, aldus de reply. Naast die niet nader gespecificeerde beperkende maatregelen, zo laat de woordvoerster weten, biedt de bijgewerkte firmware ook instructies voor gebruik van algemene best practices voor security.

Vorige week heeft Zyxel klanten al verwezen naar een best practices-artikel in zijn knowledgebase. Het is niet duidelijk of de beloofde eerstkomende firmware ook linkt naar dat algemene artikel, of de inhoud daarvan al met zich meedraagt. Vragen daarover zijn uitgezet.

Echte patch volgt nog

Ondertussen werken de ontwikkelaars van Zyxel door aan wat de woordvoerster "de patch firmware" noemt. Die volgende versie moet naar verwachting dan het eigenlijke securityprobleem oplossen. Het is nog niet bekend wanneer die uitkomt. Ook hierover zijn vragen uitgezet bij Zyxel.