鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】CVE-2020-29583 Zyxel硬编码凭证误差

宣布时间 2021-01-04

0x00 误差概述

CVE ID	CVE-2020-29583	时间	2021-01-04
类型		等级	高危
远程使用	是	影响规模

0x01 误差详情

Zyxel（合勤科技）是国际着名的网络宽带系统及解决计划的供应商。。。。。。现在，，，，全球有凌驾100000台Zyxel防火墙、VPN网关和会见点控制器。。。。。。

2020年12月23日，，，，Zyxel宣布清静通告，，，，其防火墙和AP控制器中保存一个清静误差（CVE-2020-29583），，，，其CVSS评分7.8。。。。。。

Zyxel防火墙和AP控制器中包括一个“ zyfwp”帐户，，，，该帐户可通过FTP自动更新固件。。。。。。由于该账户的密码不可更改，，，，并且可以在固件中以明文形式，，，，攻击者可以使用该帐户以治理员权限登录。。。。。。

$ ssh zyfwp@192.168.1.252

Password: Pr*******Xp

Router> show users current

No: 1

Name: zyfwp

Type: admin

(...)

Router>

影响规模：

高级威胁防护（ATP）系列（主要用作防火墙）

统一清静网关（USG）系列（用作混淆防火墙和VPN网关）

USG FLEX系列（用作混淆防火墙和VPN网关）

VPN系列（用作VPN网关）

NXC系列（用作WLAN接入点控制器）

0x02 处置惩罚建议

现在，，，，Zyxel已经宣布了此误差的部分清静更新，，，，NXC系列的补丁预计将于2021年4月宣布，，，，建议参考下表更新至最新版本：

受影响产品	补丁
防火墙
ATP系列正在运行固件ZLD V4.60	2020年12月的ZLD V4.60补丁1
USG系列运行固件ZLD V4.60	2020年12月的ZLD V4.60补丁1
USG FLEX系列运行固件ZLD V4.60	2020年12月的ZLD V4.60补丁1
运行固件ZLD V4.60的VPN系列	2020年12月的ZLD V4.60补丁1
AP控制器
NXC2500	2021年4月的V6.10 Patch1
NXC5500	2021年4月的V6.10 Patch1

下载链接：

https://www.zyxel.com/support/download_landing.shtml

0x03 参考链接

https://www.zyxel.com/support/CVE-2020-29583.shtml

https://securityaffairs.co/wordpress/112877/iot/secret-backdoor-zyxel-devices.html?

https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-29583

0x04 时间线

2020-12-23 Zyxel宣布清静通告

2021-01-04 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】