CVE-2020-29583
Zyxel Multiple Products
2021-11-03
Zyxel firewalls (ATP, USG, VM) and AP Controllers (NXC2500 and NXC5500) contain a use of hard-coded credentials vulnerability in an undocumented account ("zyfwp") with an unchangeable password.
Технический анализ и план устранения
Суть уязвимости
Злоумышленник может использовать встроенную в прошивку учетную запись zyfwp с неизменяемым паролем для получения несанкционированного доступа к веб-интерфейсу или SSH-сервису устройства. Это позволяет выполнять административные команды, менять конфигурацию и перехватывать управление устройством.
Как исправить
Установите исправленную версию прошивки для вашей модели устройства. Патч включен в следующие версии (и новее):
- ATP серия, USG серия, USG FLEX серия, VPN серия: ZLD V4.60 Patch 1
- NXC2500: V6.10 Patch 1
- NXC5500: V6.10 Patch 1
Порядок действий:
1. Скачайте актуальную прошивку с официального портала Zyxel Support.
2. В веб-интерфейсе устройства перейдите в раздел обновления прошивки (например, Maintenance > System > Firmware Upgrade).
3. Загрузите файл прошивки и выполните обновление.
4. После перезагрузки убедитесь, что версия прошивки соответствует исправленной.
Временное решение
Если немедленное обновление невозможно, выполните следующие шаги для снижения риска:
-
Ограничьте доступ к интерфейсам управления:
- В настройках брандмауэра или контроллера доступа создайте правила, разрешающие подключение к веб-интерфейсу и SSH только с доверенных IP-адресов (например, сети администраторов).
- Отключите доступ к интерфейсам управления из внешней сети (WAN/Internet), если это не требуется для работы.
-
Используйте внешние средства защиты:
- Разместите устройство за вышестоящим межсетевым экраном и настройте на нем правила фильтрации входящих подключений к портам устройства (например, 22/TCP, 443/TCP).
- Настройте правила на WAF (Web Application Firewall), если он используется в инфраструктуре, для блокировки попыток аутентификации с учетной записью
zyfwp.