漏洞情报 | Zyxel 内置用户登陆漏洞
2021-01-04 19:04:07 Author: www.secpulse.com(查看原文) 阅读量:292 收藏

1. 通告信息

2021年1月4日,安识科技A-Team团队监测到Zyxel 发布了一个内置用户登录的安全通告,漏洞编号为CVE-2020-29583。Zyxel(合勤科技)是国际知名的网络宽带系统及解决方案的供应商。zyxel 的防火墙,AP控制器产品中存在一处漏洞,漏洞允许使用用户zyfwp以admin权限登录受影响的设备。目前,Zyxel已经发布了此漏洞的部分安全更新,安识科技建议广大用户及时更新,以免遭受此漏洞攻击。

2. 漏洞概述

Zyxel防火墙和AP控制器中包含一个zyfwp帐户,该账户内置在设备固件中,无法查看、删除和修改密码,该账户作用为通过ftp自动对设备下发固件升级,但因错误配置导致攻击者可以利用该帐户以管理员权限登录。

3. 漏洞危害 

攻击者可以利用zyfwp账户以管理员权限登录设备。

4. 影响版本

漏洞影响的版本包括:

zyxel:ap_controller_nxc_2500: *

zyxel:ap_controller_nxc_5500: *

zyxel:atp_firmware: 4.60

zyxel:usg_firmware: 4.60

zyxel:usg_flex_firmware: 4.60

zyxel:vpn_firmware: 4.60

5. 解决方案

Zyxel已经发布安全更新,安识科技建议广大用户及时前往官网进行更新修复。

6. 时间轴

-20201223 Zyxel官方发布安全公告

-202114 安识科技A-Team团队根据公告分析

-202114 安识科技A-Team团队发布安全通告

本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/150741.html


文章来源: https://www.secpulse.com/archives/150741.html
如有侵权请联系:admin#unsafe.sh