Tekkis majapidamisse selline seebikarbike, nagu Zyxel NBG4604. Esmapilgul seebikas nagu seebikas ikka. Vaatan quick start guidest, defaultid: (192.168.0.1 admin/1234) ja kukun konffima. Konfin-konfinja siis selgub, üks Vajalik Auk[tm] on hall, tee või tina. Heakene küll, võtan manuaali ja mis mina avastan: lisaks admin/1234 kasutajale on defaultina olemas VEEL üks, suuremate õigustega kasutaja supervisor/supervisor. Einoh, ärge te jumala eest sellist inffi oma quick start guidesse pange, eks.
Login supervisorina sisse ja saan oma augu täpitatud, kui ilmneb UUS ja suurem murukann – veebiliidesest ei saa kuidagi parooli vahetada. Uurisn seda neetud veebiliidest igatepidi ja leidsin järgnevad WTF-id
1. Veebiliideses on augud “old password”, “new password” ja “repeat new passord”
2. Need “augud” kehtivad EKSKLUSIIVSELT admin kasutaja kohta, mitte sisse loginud kasutaja kohta (?!?)
3. “old password” ei ole mitte hetkel kehtiv password vaid admin kasutaja DEFAULT password “1234″ (W.T.F.)
4. Default kõige kõvemate õigustega kasutaja “supervisor” parooli veebiliidese kaudu MUUTA EI SAA!!!
5. CLI kohta puudub anutd mudelile igasugune dokumentatsioon whatsoever. Mitte ükski netist leitud Zyxeli CLI referents ei sisalda ühtegi käsku mis töötaks. Kõik peale exiti päädib “command not found” teatega sh. “help”.
6. Vaatamata sellele, et antud firmware pärineb aastast 2009 ja kannab versiooninumbrit 1.0 (ning on bugine ja turvaauke täis) ei suvatse Zyxel pakkuda mingit firmware uuendust.
7. Ja kõige suurem WTF – hoolika google kammimise tulemusena selgub, et ERITI MITTE KEDAGI SEE PROBLEEM EI MORJENDA. Lõpuks leidsin hispaania keelsest (!) allikast vihje, kuidas sellele karbile läheneda.
Tehke purki FTP ja laadige alla fail default_configure.cfg (seda faili saab ka veebiliidese kaudu alla laadida, aga seda ei saa veebiliidese akudu UPLOADIDA. Veebiliides pakub backu-restore protseduuri jaoks sama faili krüptitud versiooni. Milleks küll?). Seal failis on kogu purgi konff (kaasa arvatud need asjad, mida veebiliidesest üldse ei näe). Sealtkaudu saab ära muuta supervisori parooli ja teha üht-teist muud huvitavat. Pärast laed faili üle FTP tagasi ja Voila!
Kõige rohkem panigi mind imestama, et MITTE KEEGI EI KURDA sellise rämeda turvaaugu üle. Igatahes on see nüüd tükiks ajaks viimane Zyxeli toode, mis majja tuleb!
How to change Zyxel NBG4604 supervisor password
Zyxel NBG4604 (and may be other Zyxel routers too) comes with two users configured as factory defaults. User admin:1234 (less privileges) and supervisor:supervisor (full privileges). The problem is that you can not change supervisor password via web interface witch makes it major security hole.
To change supervisor password
1. ensure that ftp service is enabled
2. ftp to your zyxel router (supervisor:supervisor)
3. get default_configure.cfg
4. this file contains all router configuration in text format. Search for supervisor and change password (plain text, no encryption needed)
5. upload changed file
P.S. Additional detail: for this configuration file to be there available for download one must first log in to web interface and go “Maintenance > Tools > Configuration” and press “download text configuration”. Go figure…