Nel dicembre 2020, una scoperta ha scosso il mondo della sicurezza informatica: una vulnerabilità critica nei dispositivi Zyxel, identificata come CVE-2020-29583. Questa falla ha messo a rischio migliaia di firewall e controller di access point (AP) in tutto il mondo, aprendo la strada a potenziali accessi non autorizzati.
La Scoperta della Vulnerabilità
Il ricercatore Niels Teusink dell’azienda olandese EYE ha individuato un account utente non documentato, denominato “zyfwp”, presente in alcune versioni del firmware dei dispositivi Zyxel. Questo account possedeva privilegi amministrativi e una password codificata in chiaro nel firmware, rendendo possibile l’accesso remoto non autorizzato tramite SSH o interfaccia web. L’account era originariamente destinato a facilitare gli aggiornamenti automatici del firmware tramite FTP, ma la sua presenza non documentata e i privilegi elevati lo hanno reso una seria minaccia per la sicurezza.
Dispositivi Interessati
La vulnerabilità ha colpito diverse serie di dispositivi Zyxel, tra cui:
- Serie ATP, USG, ZyWALL, USG FLEX e VPN con firmware ZLD V4.60 Patch 0.
- Controller AP NXC2500 e NXC5500 con firmware dalla versione 6.00 alla 6.10.
È importante notare che i dispositivi con versioni di firmware precedenti o successive a quelle indicate non sono stati interessati da questa vulnerabilità.
Implicazioni per la Sicurezza
L’esistenza dell’account “zyfwp” con privilegi amministrativi ha rappresentato una grave minaccia. Un attaccante che avesse scoperto queste credenziali avrebbe potuto:
- Accedere e controllare completamente il dispositivo Zyxel.
- Intercettare e manipolare il traffico di rete.
- Modificare le impostazioni del firewall.
- Creare account VPN per accedere alle reti interne.
La situazione era ulteriormente aggravata dal fatto che molti dispositivi esposti su Internet avevano la porta 443 aperta, aumentando il rischio di attacchi remoti.
Risposta di Zyxel
Zyxel ha reagito prontamente alla segnalazione della vulnerabilità:
- Entro tre giorni dalla segnalazione, ha rimosso la versione vulnerabile del firmware dai canali di download pubblici.
- Ha rilasciato un hotfix temporaneo (versione 4.60 WK48) il 3 dicembre 2020.
- Il 14 dicembre 2020, ha distribuito l’aggiornamento standard del firmware 4.60 Patch 1, che ha risolto definitivamente il problema.
- Ha notificato proattivamente gli utenti interessati tramite email e avvisi sull’interfaccia di gestione dei dispositivi.
Raccomandazioni per gli Utenti
Per garantire la sicurezza dei dispositivi Zyxel, si consiglia di:
- Verificare la versione del firmware in uso e, se necessario, aggiornarla alla versione più recente disponibile.
- Disabilitare l’accesso remoto non necessario, come SSH e interfaccia web, soprattutto dalla WAN.
- Implementare controlli di accesso basati su indirizzi IP affidabili.
- Monitorare regolarmente i log di accesso e le attività del dispositivo per rilevare eventuali anomalie.
Approfondimenti
La vulnerabilità CVE-2020-29583 evidenzia l’importanza di una gestione attenta delle credenziali e della configurazione dei dispositivi di rete. Anche funzionalità pensate per facilitare la gestione possono, se non adeguatamente documentate e protette, trasformarsi in gravi falle di sicurezza. È fondamentale che produttori e utenti collaborino per garantire la sicurezza delle infrastrutture digitali.
