Hardkodierten Benutzerdaten In Zyxel Wlan Access Points

Title

Hardcoded FTP Credentials

Product

Zyxel NWA/NAP/WAC wireless access point series

Vulnerable Version

see "Vulnerable / tested version"

Fixed Version

see "Solution"

CVE Number

-

Impact

medium

Found

06.18.2019

By

Thomas Weber (Office Vienna) | IoT Inspector | SEC Consult Vulnerability Lab

Auf mehreren Zyxel WLAN Access Points der Serie NWA, NAP und WAC läuft ein FTP-Server mit einem hardkodierten Benutzer inklusive Passwort. Diese Credentials können dazu verwendet werden sich in den FTP Server des Access Points einzuloggen und die gesamte WLAN Konfiguration (alle SSIDs und Passwörter) auszulesen. Ein Angreifer könnte somit Zugriff auf geschützte Netzwerke erhalten.

Zum Security-Advisory (Englisch)

 

Security Research: Thomas Weber / @2019

 

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern?  Kontaktieren Sie unsere lokalen Büros.

[Translate to German:]

[Translate to German:]
Kontaktieren Sie uns.