Les appareils Zyxel LTE3301-M209, qui combinent les fonctions d'un routeur sans fil et d'un modem 4G, présentent un problème de sécurité (CVE-2022-40602) lié à la possibilité d'accéder avec un mot de passe pré-connu présent dans le firmware. Le problème permet à un attaquant distant d'obtenir les droits d'administrateur sur l'appareil si la fonction d'administration à distance est activée dans les paramètres. La vulnérabilité s'explique par l'utilisation d'un mot de passe d'ingénierie dans un code développé par un fournisseur tiers.
Le problème a été résolu dans la mise à jour du micrologiciel 1.00(ABLG.6)C0. La vulnérabilité n'apparaît que dans le modèle Zyxel LTE3301-M209 ; le modèle similaire LTE3301-Plus n'est pas affecté par le problème.
Source: opennet.ru