GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】CVE-2020-29583 Zyxel硬编码痛处缝隙

颁布功夫 2021-01-04

0x00 缝隙概述

CVE ID	CVE-2020-29583	时间	2021-01-04
类型		等级	高危
远程利用	是	影响领域

0x01 缝隙详情

Zyxel（合勤科技）是国际驰名的网络宽带系统及解决规划的供给商。目前，全球有超过100000台Zyxel防火墙、VPN网关和接见点节造器。

2020年12月23日，Zyxel颁布安全布告，其防火墙和AP节造器中存在一个安全缝隙（CVE-2020-29583），其CVSS评分7.8。

Zyxel防火墙和AP节造器中蕴含一个“ zyfwp」厥户，该帐户可通过FTP自动更新固件。由于该账户的密码不成更改，并且能够在固件中以明文大局，攻击者能够利用该帐户以治理员权限登录。

$ ssh zyfwp@192.168.1.252

Password: Pr*******Xp

Router> show users current

No: 1

Name: zyfwp

Type: admin

(...)

Router>

影响领域：

高级威胁防护（ATP）系列（重要用作防火墙）

统一安全网关（USG）系列（用作混合防火墙和VPN网关）

USG FLEX系列（用作混合防火墙和VPN网关）

VPN系列（用作VPN网关）

NXC系列（用作WLAN接入点节造器）

0x02 措置建议

目前，Zyxel已经颁布了此缝隙的部门安全更新，NXC系列的补丁预计将于2021年4月颁布，建议参考下表更新至最新版本：

受影响产品	补丁
防火墙
ATP系列在运行固件ZLD V4.60	2020年12月的ZLD V4.60补丁1
USG系列运行固件ZLD V4.60	2020年12月的ZLD V4.60补丁1
USG FLEX系列运行固件ZLD V4.60	2020年12月的ZLD V4.60补丁1
运行固件ZLD V4.60的VPN系列	2020年12月的ZLD V4.60补丁1
AP节造器
NXC2500	2021年4月的V6.10 Patch1
NXC5500	2021年4月的V6.10 Patch1

下载链接：

https://www.zyxel.com/support/download_landing.shtml

0x03 参考链接

https://www.zyxel.com/support/CVE-2020-29583.shtml

https://securityaffairs.co/wordpress/112877/iot/secret-backdoor-zyxel-devices.html?

https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-29583

0x04 功夫线

2020-12-23 Zyxel颁布安全布告

2021-01-04 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】