Hollandalı EYE şirketinden araştırmacı Niels Teusink, geçtiğimiz Noel’de Zyxel ekipmanlarındaki bir dizi donanım güvenlik duvarında ve kablosuz denetleyicide sabit kodlanmış bir parolaya sahip, “zyfwp” adında, yönetici düzeyinde belgelenmemiş bir hesap bulduğuna dair bir güvenlik açığı bildirdi. Ürün yazılımı kodu, şifrelenmemiş parolayı içeriyor. Sahiplerin acilen ürün yazılımlarını güncellemesini tavsiye ediyoruz.
Ne tür riskler var?
Hesap, dışarıdan birinin cihaza bir internet arayüzü veya SSH protokolü aracılığıyla bağlanmasına ve yönetici düzeyinde erişim elde etmesine izin veriyor. Hesap devre dışı bırakılamıyor ve şifre değiştirilemiyor. Yani cihaz ayarlarını değiştirerek güvenlik açığını ortadan kaldıramıyorsunuz.
Teusink’e göre özellikle tehlikeli olan, bazı cihazların 443 numaralı bağlantı noktasını internet arayüzü erişimi için normal kullanımına ek olarak SSL VPN için kullanması. Bu nedenle, bağlantı noktası birkaç ağda internetten erişime açık oluyor. Kurumsal kaynaklara uzaktan erişim, bugünlerde özellikle yüksek talep görüyor ve dünya çapında birçok çalışan, koronavirüs salgını sırasında evden çalışıyor.
VPN ağ geçidi, kullanıcıların kurumsal çevre içindeki kaynaklara erişmek için yeni hesaplar oluşturmasını sağlıyor. Bu güvenlik açığı, saldırganların cihazı yeniden yapılandırarak trafiği engellemesine veya trafiğe müdahale etmesine de izin verebilir.
Araştırmacı, etik ve güvenlik nedenleriyle şifreyi yayınlamaktan kaçınsa da mesajı, şifrenin nerede bulunacağını açıklıyordu. Dolayısıyla birçok siber güvenlik kaynağı bunu halkla paylaştı. Vasıfsız bilgisayar korsanları bile artık güvenlik açığından yararlanabiliyor; bu da durumu iyice riskli hale getiriyor.
Hangi cihazlarda güvenlik açığı bulunuyor?
Güvenlik açığı, ZLD v4.60 ürün yazılımı sürümüne sahip ATP, USG, USG FLEX ve VPN serisi küçük işletme güvenlik duvarı cihazlarını etkiliyor. Derhal ürün yazılımı güncellemesine ihtiyaç duyan modellerin tam listesi ve ilgili yamalara bağlantılar ZyXel internet sitesinde mevcut.
Savunmasız aygıtların listesi, ürün yazılımı sürümleri v6.00 ile v6.10 arasında olan NXC2500 ve NXC5500 kablosuz ağ denetleyicilerini de içeriyor, ancak bunlar için yamalar henüz hazır değil. ZyXel, 8 Ocak’ta çıkacaklarını söylüyor.
Bu güvenlik açığı, eski ürün yazılımı sürümlerini etkilemiyor, ancak eski ürün yazılımı sahiplerinin korkacağı hiçbir şey yok da diyemeyiz. Yeni ürün yazılımları bir (veya genelde birkaç) sebeple oluşturulur ve cihazları güncel tutmak, güvende tutmaya da yardımcı olur.
Ne yapmak gerekiyor?
Öncelikle, savunmasız cihazların donanım yazılımını ZyXel’in forumlarında bulunan yamalar ile derhal güncelleyin. Cihazlarınız için henüz bir yama yoksa forumları yakından takip edin ve yayınlanır yayınlanmaz güncellemeyi uygulayın.
Buna ek olarak, güçlü bir iş istasyonu güvenliği çözümü kullanmanızı öneririz; çalışan bilgisayarlarının, saldırganlar potansiyel olarak kurumsal ağa erişmeden önce korunması gerekir.