Egy nem dokumentált, beégetett titkos felhasználói fiókot találtak Zyxel termékekben, a hibát azóta a gyártó egy frissítéssel orvosolta. Csak ne felejtsük el frissíteni az érintett termékeinket.

Egy holland biztonsági szakértő, Niels Teusink találta meg a Zyxel termékeit érintő kritikus sérülékenységet. Gyakorlatilag egy nem dokumentált, beégetett titkos felhasználói fiókról van szó, melynek segítségével a támadó adminisztrátor jogokkal léphet be az eszközökön keresztül a vállalat hálózatába. A tajvani Zyxel termékeit tipikusan otthoni felhasználók, kisebb vállalatok használják.

Sima szövegben tárolt jelszó

A CVE-2020-29583 nevű sérülékenység a 4.60 verziószámú firmware-t érinti, és egy sor népszerű termékben megtalálható, közöttük a Unified Security Gateway (USG), USG FLEX, AP és VPN tűzfal termékekben.

A biztonsági szakértő november 29-én jelezte a problémát a gyártónak, aki december 18-ra már elkészítette a tűzfalak frissítését, az AP-k frissítését 2021 áprilisára tervezik. A termékekben egy nem dokumentált, zyfwp nevű felhasználót találtak, melyhez egy megváltozhatatlan, sima szövegben tárolt jelszó is járt. 

Érintett termékek

A Zyxel szerint a termékekbe beégetett felhasználót azért hozták létre, hogy a termékeket automatikusan frissíthessék FTP-n keresztül. Hogy aztán végül pontosan hogyan maradt ki mindez a dokumentációból, hogyan feledkeztek meg róla, arról nincs információ. Ha érintett Zyxel tűzfalat használunk, mihamarabb frissítsünk, AP-k esetében pedig várjuk meg az áprilisi hibajavítást.