www.belgium.be Logo of the federal government

Le pare-feu Zyxel et les contrôleurs de Points d’Accès (AP) contiennent des utilisateurs/mots-de-passe vulnérables

Référence: 
Advisory #2021-0001
Version: 
1.0
Logiciels concernés : 
Zyxel Séries ATP utilisant le firmware ZLD V4.60
Zyxel Séries USG utilisant le firmware ZLD V4.60
Zyxel Séries USG FLEX utilisant le firmware ZLD V4.60
Zyxel Séries VPN utilisant le firmware ZLD V4.60
Zyxel NXC2500 utilisant le firmware V6.00 through V6.10
Zyxel NXC5500 utilisant le firmware V6.00 through V6.10
Type: 
Couple utilisateur/mot-de-passe
CVE/CVSS: 

CVE-2020-29583 (CVSS 7.8)

Sources

Vendeur Officiel: https://www.zyxel.com/support/CVE-2020-29583.shtml
NVD: https://nvd.nist.gov/vuln/detail/CVE-2020-29583

Risques

Les produits de type pare-feu sont utilisés pour protéger l'infrastructure interne du réseau.
Un adversaire pourrait utiliser cette vulnérabilité d'identificationd’authentification, trouvée pour obtenir un accès administrateur à distance via le serveur ssh ou l'interface web du firewall.
L'accès administrateur pourrait être utilisé pour créer des utilisateurs supplémentaires et des connexions vpn afin d'accéder au(x) réseau(x) protégé(s) par le pare-feu.

Description

Une version spécifique des pare-feu Zyxel et du firmware des contrôleurs AP contient une vulnérabilité d’authentification. Le compte d'utilisateur (zyfwp) n'est pas documenté et son mot de passe réside en clair dans le firmware. Le compte a été conçu pour fournir des mises à jour automatiques du firmware aux points d'accès connectés par FTP.

Actions recommandées

* CERT.be recommande de mettre à jour le firmware du pare-feu Zyxel à la version "ZLD V4.60 Patch1".
* CERT.be recommande d'utiliser une protection par authentification à deux facteurs (2FA) pour les connexions d'administration et de VPN configurées sur ces appareils.
* CERT.be recommande de mettre à jour le firmware du contrôleur Zyxel AP à la version "V6.10 Patch1" dès que le patch du fabricant sera disponible (08 jan 2021).

Références

Fabricant:
- https://www.zyxel.com/support/CVE-2020-29583.shtml
- https://businessforum.zyxel.com/discussion/5254/whats-new-for-zld4-60-pa...

Mitre:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-29583

NVD:
- https://nvd.nist.gov/vuln/detail/CVE-2020-29583

Publication initiale EYE:
- https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-produc...

Autres:
- https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-%20and-...
- https://www.cisecurity.org/advisory/a-vulnerability-in-zyxel-firewall-an...
- https://cisomag.eccouncil.org/over-100000-zyxel-devices-vulnerable-to-se...