Kritisk sårbarhet i Zyxel-produkter

En kritisk sårbarhet bestående i en hemlig bakdörr har upptäckts i den inbyggda mjukvaran i Zyxel-produkter. Över 100 000 brandväggar, accesspunkter och vpn-lösningar omfattas av sårbarheten (CVE-2020-29583), varav ett mindre antal finns hos svenska användare. [1, 2]

Bakdörren innehåller hårdkodade lösenord och finns i mjukvaran för produktserierna ATP, USG, USG Flex samt VPN [3]. Den kan användas både i ssh-gränssnittet och i webbgränssnittet. Användarnamnet är “zyfwp” men lösenordet har inte publicerats.

Zyxel har publicerat en ny version av den inbyggda mjukvaran för brandväggar och vpn-lösningar (ZLD V4.60 Patch 1), där bakdörren tagits bort. Nästa vecka väntas en säkerhetsuppdatering för de drabbade accesspunkterna. [2]

Påverkade produkter

Följande produktserier påverkas:

ATP
USG
USG Flex
VPN

För en fullständig lista över påverkade produkter, se [3].

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som det är möjligt.

Källor

[1] https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

[2] https://www.zyxel.com/support/CVE-2020-29583.shtml

[3] https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release