Voilà une information qui donne le frisson : les équipements de Zyxel (boîtiers de stockage réseau, passerelles professionnelles VPN, pare-feu et scanners de sécurité) sont à la merci des hackers à cause d’une importante faille de sécurité dans le firmware rapporte The Register.

Le programme weblogin.cgi des équipements ne parvient pas à filtrer les entrées des utilisateurs, permettant à quiconque d’atteindre l’une de ces machines au travers d’un réseau ou sur Internet, et d’injecter et d’exécuter discètement et sans authentification des commandes arbitraires au niveau de la racine avec un statut d’utilisateur super-privilégié. « C’est un 10 sur 10 en termes de gravité », commentent nos confrères. Weblogin.cgi fait partie de l’interface utilisateur Web intégrée fournie par le micrologiciel, et les commandes peuvent être injectées via des requêtes HTTP GET ou POST.

« Il existe des moyens de déclencher de telles requêtes spécialement conçues même si un attaquant n’a pas de connectivité directe avec des appareils vulnérables. Par exemple, la simple visite d’un site Web peut entraîner la compromission de tout appareil ZyXEL accessible à partir du système client », indique dans une note d’information le CERT Coordination Center de l’Université Carnegie Mellon.

Des mises à jour du firmware sont disponibles depuis le site Zyxel pour les NAS326, NAS520, NAS540, NAS542, ATP100, ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, VPN300, VPN300, VPN1000, ZyWALL110, ZyWALL310 et ZyWALL1100. En revanche, n’étant plus pris en charge, les NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 et NSA325v2 ainsi que d’autres appareils ZyXEL ne peuvent pas être mis à jour et restent donc vulnérables.

« Soyez prudent lors de la mise à jour du micrologiciel sur les appareils concernés, car le processus de mise à niveau du micrologiciel ZyXEL utilise à la fois un canal non sécurisé (FTP) pour récupérer les mises à jour, et les fichiers du micrologiciel ne sont vérifiés que par somme de contrôle plutôt que par signature cryptographique », avertit le CERT Coordination Center. « Pour ces raisons, tout attaquant qui contrôle le DNS ou le routage IP peut être en mesure de provoquer l’installation d’un micrologiciel malveillant sur un appareil Zyxel. »

De leur côté, nos confrères précisent que le code d’exploitation est en vente pour 20.000 dollars sur le Dark Web.

Nos lecteurs ont lu ensuite


Zyxel fait la part belle à la sécurité pour se différencier
La filiale Française de Zyxel, dont les locaux sont installés dans la région lyonnaise, a profité du salon IT Partners pour mettre en avant ses différences, essentiellement les fonctions de sécurité embarquées dans tous ses...

Jean-Marc Guignier, Zyxel France : « Nous avons décidé d’augmenter gratuitement le nombre de connexions VPN SSl des passerelles de la gamme ATP »
Plus d’un mois après la fermeture des écoles et des commerces non essentiels, et alors que l’activité des prestataires IT est très affectée par les mesures de confinement de la population, nous avons demandé aux...

Nouvelles offres, échange standard et financement pour ZyXEL
Pour sa troisième participation au salon IT Partners, ZyXEL lance une nouvelle gamme d’appliances sécurité et WiFi, propose des mises à jour de matériels sous forme d’échange et offre à ses revendeurs la possibilité d’une...

Micrologiciel formalise un contrat de distributeur agréé
Editeur d’une solution de gestion de contenu et de boutiques en ligne, Micrologiciel achève un programme channel par le biais duquel il espère recruter une centaine de partenaires....

Plus de 20.000 pare-feux Zyxel vulnérables à la faille CVE-2022-30525
Dans un avis de sécurité daté du 12 mai, le fabricant taiwanais de matériel réseau Zyxel fait état d’une faille critique, CVE-2022-30525, à corriger d’urgence (score CVSS de 9.8). Il s’agit d’une vulnérabilité d’injection de...