Les chercheurs en sécurité ont observé les premières tentatives de compromettre les appareils Zyxel en utilisant une vulnérabilité récemment révélée liée à l’existence d’informations d’identification codées en dur.

Les attaques, actuellement peu nombreuses, visent CVE-2020-29583, une vulnérabilité affectant plusieurs pare-feu Zyxel et contrôleurs WLAN qui a été rendue publique fin décembre.

Des mises à jour du micrologiciel qui suppriment le bogue sont déjà disponibles pour certains des produits concernés, mais les attaquants saisissent le moment, tentant de trouver des périphériques vulnérables avant que les correctifs ne soient appliqués.

Découvert par les chercheurs en sécurité d’EYE, le problème affecte les appareils Zyxel USG, ATP, VPN, ZyWALL et USG FLEX et existe parce que le mot de passe du compte d’utilisateur non documenté zyfwp est stocké dans le firmware en texte clair.

Le compte est destiné à la livraison automatique des mises à jour du micrologiciel via FTP et dispose de privilèges d’administrateur. Ainsi, les attaques ciblant des appareils vulnérables pourraient conduire à la compromission de réseaux entiers, préviennent les chercheurs.

À partir du 3 janvier, les chercheurs en sécurité de GreyNoise, une entreprise qui collecte et analyse les données de scan et d’attaque sur Internet, ont observé les premières tentatives d’exploitation de ce soi-disant «compte de porte dérobée» sur les appareils Zyxel, et ils disent que les attaques ne semblent pas être ciblé dans la nature, mais plutôt opportuniste.

«Hier, nous avons vu un appareil commencer à tenter de façon opportuniste de se connecter à des serveurs sur Internet via SSH en utilisant le nom d’utilisateur et le mot de passe« porte dérobée »divulgués par Zyxel pour CVE-2020-29583. Aujourd’hui, nous en avons vu deux autres, ce qui nous amène à un total de trois (3) appareils », a déclaré Andrew Morris, fondateur de GreyNoise. SecurityWeek par email.

Bien qu’il s’agisse de tentatives claires pour trouver et compromettre les appareils Zyxel vulnérables exposés à Internet, l’attribution n’est pas aussi simple.

«Un ou plusieurs individus, groupes, organisations ou opérateurs de botnet» pourraient être à l’origine de …