Vulnerabilidad de credenciales embebidas en múltiples productos de Zyxel

Fecha de publicación:

05/01/2021

Importancia:

4 - Alta

Recursos afectados:

Cortafuegos:

ATP series, versión de firmware ZLD 4.60;
USG series, versión de firmware ZLD 4.60;
USG FLEX series, versión de firmware ZLD 4.60;
VPN series, versión de firmware ZLD 4.60;

Controladores de Punto de Acceso (AP):

NXC2500, versiones de firmware de la 6.00 a la 6.10;
NXC5500, versiones de firmware de la 6.00 a la 6.10.

Descripción:

Niels Teusink, de EYE Netherlands, ha reportado a Zyxel una vulnerabilidad de severidad alta de tipo credenciales embebidas.

Solución:

Para los cortafuegos, está disponible el parche ZLD V4.60 Patch1.
Para los controladores AP, el fabricante publicará un parche el próximo 8 de enero.

Detalle:

Los productos afectados contienen credenciales embebidas que podrían permitir a un atacante adquirir privilegios de administrador mediante la cuenta de usuario “zyfwp”. Se ha asignado el identificador CVE-2020-29583 para esta vulnerabilidad.

Referencias:

Zyxel security advisory for hardcoded credential vulnerability

A vulnerability in Zyxel Firewall and AP Controllers Could Allow for Administrative Access

Etiquetas:

Actualización

Comunicaciones

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de credenciales embebidas en múltiples productos de Zyxel

Ejecución remota de código en Desktop Central de ManageEngine

Ejecución remota de código en Zoho ManageEngine ServiceDesk Plus

Vulnerabilidad de desbordamiento de búfer en múltiples productos HP

Múltiples vulnerabilidades en Avalanche de Ivanti

Múltiples vulnerabilidades en productos de HPE