Su moltissimi router della Zyxel è presente un accesso di fabbrica predeterminato, una backdoor, che consente a chiunque ne sia a conoscenza, di entrare sul dispositivo come amministratore ed avere pieni poteri. Molti di questi dispositivi sono installati come difesa di prima linea ed è come se all’esterno della vostra porta di casa blindata siano state lasciate appese le chiavi. Se possiedi uno di questi prodotti della Zyxel aggiorna immediatamente il firmware del dispositivo.
Basta inserire utente: zyfwp e password “PrO*******” (gli ultimi caratteri li abbia oscurati noi) ed il gioco è fatto. Zyxel aveva già diffuso dei dispositivi nel 2016 con una porta aperta ma allora erano necessarie condizioni particolari per sfruttarla, adesso basta un avere accesso al panello di controllo.
La scoperta è stata effettuata dai ricercatori olandesi del gruppo Eye Control. I dispositivi vulnerabili sono:
- La serie Advanced Threat Protection (ATP) – usata primariamente come firewall
- La serie Unified Security Gateway (USG) – usata come firewall ibrido and gateway VPN
- La serie USG FLEX – usata come firewall ibrido and gateway VPN
- the VPN series – usata come gateway VPN
- the NXC series – usata come controller Access Point WLAN
Zyxel ha già rilasciato un bollettino ed un aggiornamento firmware con la vulnerabilità risolta (tranne per la serie NXC, per cui verrà rilasciata in aprile).
A 4 anni dalla scoperta della precedente vulnerabilità sui router Zyxel, questa non sembra non avere insegnato all’azienda nulla sulla sicurezza informatica. A noi conferma che tutto quanto sia proprietario, chiuso, non documentato, è per sua natura pericoloso. Chi ha inserito quella backdoor? E’ stato un dipendente canaglia, oppure un errore del team di sviluppo? O addirittura una precisa forzatura voluta da un governo, per potere avere libero ingresso alle nostre reti?
Le norme sul diritto di autore non ci consentono di avere accesso ai sorgenti dei firmware e molto spesso nemmeno di poterne istallare altri, aperti e revisionabili da tutti. Il Partito Pirata combatte affinchè tutto questo cambi e l’utente abbia il controllo della tecnologia in suo possesso.