Vulnerabilidad de credenciales embebidas en múltiples productos de Zyxel

Fecha de publicación:

05/01/2021

Importancia:

4 - Alta

Recursos afectados:

Cortafuegos:

ATP series, versión de firmware ZLD 4.60;
USG series, versión de firmware ZLD 4.60;
USG FLEX series, versión de firmware ZLD 4.60;
VPN series, versión de firmware ZLD 4.60;

Controladores de Punto de Acceso (AP):

NXC2500, versiones de firmware de la 6.00 a la 6.10;
NXC5500, versiones de firmware de la 6.00 a la 6.10.

Descripción:

Niels Teusink, de EYE Netherlands, ha reportado a Zyxel una vulnerabilidad de severidad alta de tipo credenciales embebidas.

Solución:

Para los cortafuegos, está disponible el parche ZLD V4.60 Patch1.
Para los controladores AP, el fabricante publicará un parche el próximo 8 de enero.

Detalle:

Los productos afectados contienen credenciales embebidas que podrían permitir a un atacante adquirir privilegios de administrador mediante la cuenta de usuario “zyfwp”. Se ha asignado el identificador CVE-2020-29583 para esta vulnerabilidad.

Referencias:

Zyxel security advisory for hardcoded credential vulnerability

A vulnerability in Zyxel Firewall and AP Controllers Could Allow for Administrative Access

Etiquetas:

Actualización

Comunicaciones

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de credenciales embebidas en múltiples productos de Zyxel

Vulnerabilidad 0-day en SMA 100 de SonicWall

Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en productos de Cisco

Vulnerabilidad en el core de Drupal

Actualizaciones críticas en Oracle (enero 2021)