Hardkodierten Benutzerdaten in Zyxel WLAN Access Points

Project Description

Auf mehreren Zyxel WLAN Access Points der Serie NWA, NAP und WAC läuft ein FTP-Server mit einem hardkodierten Benutzer inklusive Passwort. Diese Credentials können dazu verwendet werden sich in den FTP Server des Access Points einzuloggen und die gesamte WLAN Konfiguration (alle SSIDs und Passwörter) auszulesen. Ein Angreifer könnte somit Zugriff auf geschützte Netzwerke erhalten.

Zum Security-Advisory (Englisch)

 

Security Research: Thomas Weber / @2019

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

  • TitleHardcoded FTP Credentials
  • ProductZyxel NWA/NAP/WAC wireless access point series
  • Vulnerable versionsee "Vulnerable / tested version"
  • Fixed versionsee "Solution"
  • CVE number-
  • Impactmedium
  • Homepagehttps://www.zyxel.com
  • Found2019-06-19
  • ByThomas Weber (Office Vienna) | IoT Inspector | SEC Consult Vulnerability Lab

Cookie Preference

Welche Cookies möchten Sie zulassen?

Bitte treffen Sie eine Auswahl

Danke! Auswahl gespeichert.

Hilfe

Keine Tracking-Cookies zulassen

To continue, you must make a cookie selection. Below is an explanation of the different options and their meaning.

  • Alle Cookies erlauben:
    All cookies such as tracking and analytics cookies.
  • Nur Cookies von dieser Seite zulassen:
    Only cookies from this website.
  • Keine Tracking-Cookies zulassen:
    No cookies except for those necessary for technical reasons are set.

You can change your cookie setting here anytime: Blog. Blog

Back