Zyxel ürünlerinde büyük açık

Yazılım geliştiren platformların en önemli sorunlarından birisi şüphesiz gözden kaçan açıklar. Eğer bu yazılım geniş bir ürün yelpazesinde kullanılıyorsa durum daha da kritik hale gelebiliyor. Zyxel son günlerde gizli bir arka kapı açığı ile uğraşıyor.

Pek çok Zyxel ürününde var

Ağ ekipmanları pazarının önemli isimlerinden Zyxel’e ait pek çok güvenlik duvarı, VPN güvenlik duvarı ve erişim noktası kontrolcülerinde kritik bir açık bulundu. Bu açık yönetici yetkilerini ele geçirmeye sebep olacak gizli bir hesap ile ilgili.

Zyxel kullanıcı ara yüzünün 4.60 sürümünde tespit edilen CVE-2020-29583 seri numaralı açık firmanın tümleşik güvenlik duvarı – USG, USG FLEX, ATP ve VPN güvenlik duvarı gibi geniş bir ürün yelpazesini etkiliyor.

Firma zyfwp adındaki bu hesabı bağlantılı erişim noktalarına otomatik güncelleme göndermek için kullanıyor ancak PrOw!aN_fXp değiştirilemeyen şifresi düz metin olarak saklandığı için büyük bir risk oluşturuyor.

EYE güvenlik şirketi açığı 29 Kasım tarihinde Zyxel’e bildirmiş ve firma da hızlı bir şekilde yama çalışmalarına başlamış. 18 Aralık tarihinde yukarıda sayılan cihazlar için yama yayınlanmış ancak erişim noktası ürünleri için en erken Nisan 2021 tarihinde bir yama yayınlanabilecek.