Internetowy interfejs u�ytkownika ZyWALL zawiera usterki, kt�re umo�liwiaj� napastnikowi na uzyskanie nieautoryzowanego dost�pu do danych i zmiany konfiguracji urz�dze� ZyXEL USG 20, 20W, 50, 100, 200, 300 1000, 1050 oraz 2000.

Wed�ug RedTeam Pentesting atakuj�cy mo�e zmodyfikowa� zmienn� JavaScript przechowywan� po stronie klienta w jego przegl�darce i omin�� mechanizm uwierzytelniania, pobra� plik konfiguracyjny, a w, nim skr�ty przechowywanych hase�.

Podobno istnieje tak�e prostszy spos�b i plik mo�e by� obrany bez uwierzytelniania poprzez podanie tylko pe�nego adresu URL w przegl�darce.

Nast�pnie has�o mo�e zosta� z�amane, a nast�pnie zmodyfikowany plik konfiguracyjny przes�any spowrotem do urz�dzenia (tak�e bez uwierzytelniania). P�niej napastnik mo�e ju� tylko si� logowa� jako administrator. Jedynie co jest potrzebne, to dost�pny interfejs sieciowy.

Has�a wbrew pozorom nie s� w pe�ni zabezpieczone. RedTeam odszyfrowa� je przy pomocy ataku ze znanym tekstem jawnym. ZyXEL ju� rozpowszechnia odpowiednie �atki bezpiecze�stwa.

�r�d�o: http://www.h-online.com/