Zyxel发布了一个补丁,以解决其固件中的一个关键漏洞,涉及一个未记录的硬编码秘密账户,可被攻击者滥用管理权限登录并控制其网络设备。
此漏洞被追踪为CVE-2020-29583 (CVSS评分7.8),影响到Zyxel广泛设备的4.60版本,包括Unified Security Gateway (USG)、USG FLEX、ATP和VPN防火墙产品。
EYE研究员Niels Teusink于11月29日向Zyxel报告了该漏洞,随后该公司于12月18日发布了固件补丁(ZLD V4.60 Patch1)。
根据Zyxel发布的咨询意见,该未记录的账户("zyfwp")带有一个不可更改的密码("PrOw!aN_fXp"),该密码不仅以明文形式存储,还可能被恶意第三方利用,以管理员权限登录SSH服务器或Web界面。
Zyxel表示,这些硬编码凭证是为了通过FTP向连接的接入点提供自动固件更新而设置的。
Teusink指出,荷兰1000台设备中约有10%运行受影响的固件版本,他表示,该缺陷相对容易被利用,因此是一个关键的漏洞。
"由于'zyfwp'用户具有管理权限,这是一个严重的漏洞,"Teusink在一篇文章中说。"攻击者可以完全破坏设备的机密性、完整性和可用性。"
"例如,有人可以改变防火墙设置,允许或阻止某些流量。他们还可以拦截流量或创建VPN账户以获得设备背后的网络访问权。再加上Zerologon这样的漏洞,这对中小型企业来说可能是毁灭性的。"
该台湾公司还将通过定于2021年4月发布的V6.10 Patch1解决其接入点(AP)控制器中的问题。
强烈建议用户安装必要的固件更新,以减轻该缺陷带来的风险。
