Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de credenciales embebidas en múltiples productos de Zyxel

Fecha de publicación 05/01/2021
Importancia
4 - Alta
Recursos Afectados

Cortafuegos:

  • ATP series, versión de firmware ZLD 4.60;
  • USG series, versión de firmware ZLD 4.60;
  • USG FLEX series, versión de firmware ZLD 4.60;
  • VPN series, versión de firmware ZLD 4.60;

Controladores de Punto de Acceso (AP):

  • NXC2500, versiones de firmware de la 6.00 a la 6.10;
  • NXC5500, versiones de firmware de la 6.00 a la 6.10.
Descripción

Niels Teusink, de EYE Netherlands, ha reportado a Zyxel una vulnerabilidad de severidad alta de tipo credenciales embebidas.

Solución
  • Para los cortafuegos, está disponible el parche ZLD V4.60 Patch1.
  • Para los controladores AP, el fabricante publicará un parche el próximo 8 de enero.
Detalle

Los productos afectados contienen credenciales embebidas que podrían permitir a un atacante adquirir privilegios de administrador mediante la cuenta de usuario “zyfwp”. Se ha asignado el identificador CVE-2020-29583 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Zyxel security advisory for hardcoded credential vulnerability
A vulnerability in Zyxel Firewall and AP Controllers Could Allow for Administrative Access
Etiquetas