S odkazem na zjištění společnosti EYE upozorňujeme na závažnou zranitelnost zařízení Zyxel s označením CVE-2020-29583. Ve firmwaru zařízení Zyxel řady ATP, USG, USG FLEX a VPN verze 4.6 a AP controllerů NXC2500, NXC5500 verze 6.00 až 6.10 je od výrobce nastaven skrytý nezdokumentovaný účet "zyfwp" s administrátorským oprávněním a napevno přiděleným heslem, které je na každém zařízení stejné. Heslo k tomuto účtu lze ze systému získat v čitelné podobě a bylo již v řadě veřejně přístupných článcích zveřejněno. V případě vystavení rozhraní do internetu může být tento účet snadno zneužit útočníky např. k rekonfiguraci firewallu, přidání VPN účtů nebo odposlechu provozu, což může vést k celkové kompromitaci infrastruktury.
Zyxel již vydal aktualizaci pro zařízení řad ATP, USG, USG FLEX a VPN, pro další zasažené produkty je naplánované vydání 8.1.2021. Všem, kdo některá z těchto zařízení ve své síti používají, důrazně doporučujeme aktualizaci provést. Firmware ke stažení a bližší informace od Zyxel nalezete na stránkách zde: https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release
Starší verze firmwaru (před V6.00) nemají tento účet nastaven, mohou být ovšem náchylné na současnými verzemi již opravené zranitelnosti a aktualizace na poslední verzi je tedy doporučena i pro ně.
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
https://www.zyxel.com/support/CVE-2020-29583.shtml
https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release
http://ftp.zyxel.com/USG40/firmware/USG40_4.60(AALA.1)C0_2.pdf