Zyxel ha rilasciato una patch per risolvere una vulnerabilità critica nel suo firmware riguardante un account segreto non documentato hardcoded che potrebbe essere abusato da un utente malintenzionato per accedere con privilegi amministrativi e compromettere i suoi dispositivi di rete.
La falla, tracciata come CVE-2020-29583 (punteggio CVSS 7,8), interessa la versione 4.60 presente in un'ampia gamma di dispositivi Zyxel, inclusi Unified Security Gateway (USG), USG FLEX, ATP e prodotti firewall VPN.
Il ricercatore EYE Niels Teusink ha segnalato la vulnerabilità a Zyxel il 29 novembre, in seguito alla quale la società ha rilasciato una patch del firmware (ZLD V4.60 Patch1) il 18 dicembre.
Secondo l' avviso pubblicato da Zyxel, l'account non documentato ("zyfwp") viene fornito con una password non modificabile (" PrOw! AN_fXp ") che non è solo memorizzata come testo in chiaro, ma potrebbe anche essere utilizzata da terze parti dannose per accedere a SSH server o interfaccia web con privilegi di amministratore.
Zyxel ha affermato che le credenziali hardcoded sono state messe in atto per fornire aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP.
Notando che circa il 10% di 1000 dispositivi nei Paesi Bassi eseguono la versione del firmware interessata, Teusink ha affermato che la relativa facilità di sfruttamento del difetto lo rende una vulnerabilità critica.
La società taiwanese dovrebbe anche affrontare il problema nei suoi controller AP (access point) con una patch V6.10 che verrà rilasciata nell'aprile 2021.
Si consiglia vivamente agli utenti di installare gli aggiornamenti firmware necessari per mitigare il rischio associato al difetto.
La falla, tracciata come CVE-2020-29583 (punteggio CVSS 7,8), interessa la versione 4.60 presente in un'ampia gamma di dispositivi Zyxel, inclusi Unified Security Gateway (USG), USG FLEX, ATP e prodotti firewall VPN.
Il ricercatore EYE Niels Teusink ha segnalato la vulnerabilità a Zyxel il 29 novembre, in seguito alla quale la società ha rilasciato una patch del firmware (ZLD V4.60 Patch1) il 18 dicembre.
Secondo l' avviso pubblicato da Zyxel, l'account non documentato ("zyfwp") viene fornito con una password non modificabile (" PrOw! AN_fXp ") che non è solo memorizzata come testo in chiaro, ma potrebbe anche essere utilizzata da terze parti dannose per accedere a SSH server o interfaccia web con privilegi di amministratore.
Zyxel ha affermato che le credenziali hardcoded sono state messe in atto per fornire aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP.
Notando che circa il 10% di 1000 dispositivi nei Paesi Bassi eseguono la versione del firmware interessata, Teusink ha affermato che la relativa facilità di sfruttamento del difetto lo rende una vulnerabilità critica.
La società taiwanese dovrebbe anche affrontare il problema nei suoi controller AP (access point) con una patch V6.10 che verrà rilasciata nell'aprile 2021.
Si consiglia vivamente agli utenti di installare gli aggiornamenti firmware necessari per mitigare il rischio associato al difetto.
Commenti
Posta un commento