Kritisk sårbarhet i Zyxel-produkter
En kritisk sårbarhet bestående i en hemlig bakdörr har upptäckts i den inbyggda mjukvaran i Zyxel-produkter. Över 100 000 brandväggar, accesspunkter och vpn-lösningar omfattas av sårbarheten (CVE-2020-29583), varav ett mindre antal finns hos svenska användare. [1, 2]
Bakdörren innehåller hårdkodade lösenord och finns i mjukvaran för produktserierna ATP, USG, USG Flex samt VPN [3]. Den kan användas både i ssh-gränssnittet och i webbgränssnittet. Användarnamnet är “zyfwp” men lösenordet har inte publicerats.
Zyxel har publicerat en ny version av den inbyggda mjukvaran för brandväggar och vpn-lösningar (ZLD V4.60 Patch 1), där bakdörren tagits bort. Nästa vecka väntas en säkerhetsuppdatering för de drabbade accesspunkterna. [2]
Påverkade produkter
Följande produktserier påverkas:
ATP
USG
USG Flex
VPN
För en fullständig lista över påverkade produkter, se [3].
Rekommendationer
CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som det är möjligt.
Källor
[1] https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
[2] https://www.zyxel.com/support/CVE-2020-29583.shtml
[3] https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release