The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Zyxel LTE3301-M209, допускающая доступ через предопределённый пароль

23.11.2022 11:48

В устройствах Zyxel LTE3301-M209, сочетающих функции беспроводного маршрутизатора и 4G-модема, выявлена проблема с безопасностью (CVE-2022-40602), связанная с возможностью получения доступа с заранее известным паролем, присутствующим в прошивке. Проблема позволяет удалённому атакующему получить права администратора на устройстве, в случае если в настройках включена функция удалённого администрирования. Появление уязвимости объясняется использованием инженерного пароля в коде, разработкой которого занимался сторонний поставщик.

Проблема устранена в обновлении прошивки 1.00(ABLG.6)C0. Уязвимость проявляется только в модели Zyxel LTE3301-M209, похожая модель LTE3301-Plus проблеме не подвержена.

  1. Главная ссылка к новости (https://support.zyxel.eu/hc/en...)
  2. OpenNews: Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета
  3. OpenNews: Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить код без аутентификации
  4. OpenNews: Утечка исходных текстов проектов Nissan из-за учётной записи admin/admin
  5. OpenNews: Бэкдор в межсетевых экранах и контроллерах точек доступа Zyxel
  6. OpenNews: Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/58179-zyxel
Ключевые слова: zyxel, router
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:52, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    ой... закладку нашли...
     
     
  • 2.2, Аноним (2), 11:57, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не ну это же ««««««сторонний»»»»»» разработчик так что взятки гладки, отношения не имеем, он сам пришел, не виноватая я. И ведь все 95% людей на это ведутся.
     
     
  • 3.4, Жироватт (ok), 12:00, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    АУТСОРС.
    Зато модно как. Стильно. Молодёжно. И всегда в белом плащике!
     
     
  • 4.9, Аноним (9), 12:38, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А для потребителя ОТСОС
     
     
  • 5.16, Жироватт (ok), 13:59, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Капитализм, хо! Повышаем прибыль, понижаем издержки. А о пользователе заботиться? А зачем, если это дополнительные издержки несущие минус прибыли?
     
     
  • 6.20, Аноним (20), 19:56, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем тебе о чём-то заботится если АНБ тебе заплатит сколько надо?
     
  • 4.18, ryoken (ok), 14:56, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    АНБ жИ!
     
  • 2.3, Анонн (?), 11:58, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какая же это закладка, если он вшит прямо в прошивку?
    Закладка должна быть хитрая, чтобы не заметно было. А тут просто понабирали по объявлениям...
     
     
  • 3.5, Аноним (2), 12:00, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем можно же сказать что это не мы? Хуавей вон тоже не заморачивался и у него какое-то время всё прокатывало.
     
  • 3.6, Жироватт (ok), 12:02, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Москва не сразу строилась.
    Тайваньскому студенту-фрилансеру Зунь Хуэй Вчай дали за плошку риса и пригорошню юаней задание - вот и учится человек, усё как в приличных домах.
     

  • 1.7, Попандопала (?), 12:25, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ниссан или Хендай вообще логин/пароли у себя использовали админ/админ которые были по умолчанию. Никакие цве не нужны.xd
     
     
  • 2.10, Аноним (9), 12:46, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да эта комбинация admin/admin где только не используется по умолчанию. Вот у меня приёмник GNSS на столе лежит с такой. И не требует же изменить принудительно, а это значит, что 99% пользователей этого не сделают.
     

  • 1.8, Turbid (ok), 12:37, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сторонний поставщик - это маленький независимый стартап под названием NSA?
     
     
  • 2.14, Самый Лучший Гусь (?), 13:21, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Никому неизвестная артель из трёх с половиной калек "Мос сад".
     
  • 2.21, Аноним (20), 19:57, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Они могут кому угодно сделать предложение от которого нельзя отказаться.
     

  • 1.11, Аноним (-), 12:47, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зухель коннект!
     
  • 1.12, egan (?), 13:05, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По моему опыту сейчас 1/2 всех ошибок что-то подобное.
     
  • 1.13, КО (?), 13:15, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не то что латвийский Mikrotik с его ботнетом.
    Всё опенсорсное, родное.
     
     
  • 2.15, Аноним (-), 13:31, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Микротик больше не котируется. Забанили рыцарей света.
     

  • 1.17, Аноним (17), 14:07, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пароль-то какой?
     
     
  • 2.22, Аноним (22), 20:06, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно. Раз уж он вшитый и известный, то почему бы не написать? УЖЕ же засветили, зачем скрывать-то?
    У безопасТников воспалилась безопасТность? Или автор статьи - некомпетентен и даже не удосужился провесрить слухи на лживость?
    Что вообще это испражнение делает на опеннете?
     
  • 2.23, Аноним (23), 20:55, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    скачай прошивку и открой в hex-редакторе
     

  • 1.19, Аноним (19), 18:49, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Уязвимость

    Ясно.

    > Уязвимость - бэкдор, закладка.

    Добавил в словарь новояза после словарной статьи "структурная трансформация".

     
  • 1.25, Аноним (-), 22:22, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > получения доступа с заранее известным паролем

    Зухель, это не уязвимость, это бэкдор!

     
  • 1.27, Аноним (27), 00:31, 24/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну? Удаленное же ж администрирование. Чего не так? Не сказано же ж, что тобой!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру