Společnost Zyxel vydala opravu, která řeší kritickou zranitelnost firmwaru týkající se napevno zakódovaného nedokumentovaného tajného účtu, který by mohl útočník zneužít k přihlášení s oprávněními správce a ke kompromitaci svých síťových zařízení.
Chyba známá jako CVE-2020-29583 (CVSS skóre 7.8, ovlivňuje verzi 4.60 přítomnou v široké škále zařízení Zyxel, včetně produktů Unified Security Gateway (USG), USG FLEX, ATP a VPN firewall.
V kódu firmware se nachází tajný účet, který má nezměnitelné pevné heslo. Díky tomuto se lze na dálku připojit k zařízení pomocí SSH nebo WEB rozhraní a získat administrátorská práva. Protože uživatel „zyfwp“ má oprávnění správce, jedná se o vážnou chybu zabezpečení. Útočník by mohl zcela narušit důvěrnost, integritu a dostupnost zařízení.
Útočník může například změnit nastavení brány firewall tak, aby povolil nebo blokoval určitý provoz. Mohl by také zachytit provoz nebo vytvořit účty VPN, aby získal přístup k síti za zařízením. V kombinaci se zranitelností, jako je Zerologon, by to mohlo být pro malé a střední podniky konečná…
Chyba zabezpečení byla oznámena společnosti Zyxel 29. listopadu, poté společnost 18. prosince vydala opravu firmwaru (ZLD V4.60 Patch1). Důrazně doporučujeme nainstalovat nezbytné aktualizace firmwaru, aby se snížilo riziko spojené s touto již veřejně oznámenou chybou.