ГлавнаяБаза уязвимостей БДУ → BDU:2021-01667
10критическая

BDU:2021-01667 (CVE-2020-29583)

Уязвимость микропрограммного обеспечения сетевых устройств ZyXEL USG, USG VPN, ATP, ZyWALL и FLEX, связанная с незашифрованным хранением данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-03-30
Описание

Уязвимость микропрограммного обеспечения сетевых устройств ZyXEL USG, USG VPN, ATP, ZyWALL и FLEX связана с незашифрованным хранением данных при использовании учетной записи «zyfwp». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
USG2200 (4.60)USG110 (4.60)USG210 (4.60)USG1100 (4.60)USG1900 (4.60)USG20W-VPN (4.60)USG310 (4.60)USG20-VPN (4.60)USG40 (4.60)USG40W (4.60)USG60 (4.60)USG60W (4.60)ATP100 (4.60)ATP200 (4.60)ATP500 (4.60)ATP800 (4.60)ATP700 (4.60)ATP100W (4.60)ZyWALL 110 (4.60)ZyWALL 1100 (4.60)ZyWALL 310 (4.60)VPN50 (4.60)VPN300 (4.60)VPN100 (4.60)VPN000 (4.60)USG FLEX 100 (4.60)USG FLEX 100W (4.60)USG FLEX 200 (4.60)USG FLEX 500 (4.60)USG FLEX 700 (4.60)
Способ устранения

Использование рекомендаций:
https://www.zyxel.com/support/CVE-2020-29583.shtml
https://www.zyxel.com/support/security_advisories.shtml
https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://ftp.zyxel.com/USG40/firmware/USG40_4.60(AALA.1)C0_2.pdfhttps://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-releasehttps://businessforum.zyxel.com/discussion/5254/whats-new-for-zld4-60-patch-1-available-on-dec-15https://www.zyxel.com/support/CVE-2020-29583.shtmlhttps://www.zyxel.com/support/security_advisories.shtmlhttps://nvd.nist.gov/vuln/detail/CVE-2020-29583https://cxsecurity.com/cveshow/CVE-2020-29583/ww.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
Проверьте безопасность своего сайта и почты → Полная проверка домена