Vulnerabilidad de credenciales embebidas en múltiples productos de Zyxel

Fecha de publicación:

05/01/2021

Importancia:

4 - Alta

Recursos afectados:

Cortafuegos:

ATP series, versión de firmware ZLD 4.60;
USG series, versión de firmware ZLD 4.60;
USG FLEX series, versión de firmware ZLD 4.60;
VPN series, versión de firmware ZLD 4.60;

Controladores de Punto de Acceso (AP):

NXC2500, versiones de firmware de la 6.00 a la 6.10;
NXC5500, versiones de firmware de la 6.00 a la 6.10.

Descripción:

Niels Teusink, de EYE Netherlands, ha reportado a Zyxel una vulnerabilidad de severidad alta de tipo credenciales embebidas.

Solución:

Para los cortafuegos, está disponible el parche ZLD V4.60 Patch1.
Para los controladores AP, el fabricante publicará un parche el próximo 8 de enero.

Detalle:

Los productos afectados contienen credenciales embebidas que podrían permitir a un atacante adquirir privilegios de administrador mediante la cuenta de usuario “zyfwp”. Se ha asignado el identificador CVE-2020-29583 para esta vulnerabilidad.

Referencias:

Zyxel security advisory for hardcoded credential vulnerability

A vulnerability in Zyxel Firewall and AP Controllers Could Allow for Administrative Access

Etiquetas:

Actualización

Comunicaciones

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de credenciales embebidas en múltiples productos de Zyxel

Múltiples vulnerabilidades en GitLab

Múltiples vulnerabilidades en productos Netgear

Ejecución arbitraria de código en IBM CICS TX

Divulgación de información sensible en HPE NonStop DSM/SCM

Denegación de servicio en Gopher Processing de Squid