La vulnerabilidad que afecta a la versión 4.60 de una gama amplia de dispositivos Zyxel, fue identificada como CVE-2020-29583.
Niels Teusink investigador de EYE aviso a la compañía de esta vulnerabilidad el 29 de noviembre. La compañía lanzó un parche para el firmware el día 18 de diciembre que arreglaba esta vulnerabilidad.
En el aviso publicado por parte de Zyxel, la cuenta no documentada (“zyfwp”) tiene una contraseña que no es posible cambiar (“Pr0w! AN_fXp”) que además de estar almacenada en texto plano podría ser utilizado por un atacante malintencionado para iniciar sesión con privilegios de administrador vía SSH o con la interfaz web.
Según Zyxel está credenciales se implementan para lanzar las actualizaciones automáticas de firmware a los puntos de acceso conectado desde FTP. El propio Teusink indico que alrededor de un 10% de los más de 1.000 dispositivos instalados en los Paises Bajos ejecutan la versión de firmware afectado por esta vulnerabilidad.
Teusink añadió que debido a los privilegios
de administrador que tiene la cuenta la vulnerabilidad es grave, ya que un
atacante podría comprometer la integridad, confidencialidad y disponibilidad de
los dispositivos pudiendo llegar a crear cuentas VPN para obtener acceso a la
red que está conectada al dispositivo en cuestión.
No hay comentarios:
Publicar un comentario