أصدرت Zyxel تصحيحًا لمعالجة الضعف الحرج في البرامج الثابتة الخاصة بها فيما يتعلق بحساب سري متشددين غير موثق يمكن أن يتعرض للإيذاء من قبل مهاجم لتسجيل الدخول بامتيازات إدارية وتسوية أجهزة التواصل الخاصة بها.
العيب ، تتبع CVE-2020-29583 (نقاط CVSS 7.8) ، تؤثر الإصدار 4.60 يوجد في مجموعة واسعة من أجهزة Zyxel ، بما في ذلك Gateway Unified Security Gateway (USG) و USG Flex و ATP و VPN.
باحث عيون نيلز تيوسك أبلغت عن الضعف إلى Zyxel في 29 نوفمبر ، وبعد ذلك أصدرت الشركة تصحيح البرامج الثابتة (ZLD V4.60 Patch1) في 18 ديسمبر.
وفقا ل استشاري تم نشر الحساب غير الموثق (“ZyfWP” الذي نشرته Zyxel ، مع كلمة مرور غير قابلة للتغيير لا يتم تخزينها فقط في نص عادي ولكن يمكن استخدامها أيضًا من قبل طرف ثالث ضار لتسجيل الدخول إلى خادم SSH أو واجهة الويب مع امتيازات المسؤول.
وقال Zyxel إن بيانات الاعتماد المتشددين تم وضعها في مكانها لتقديم تحديثات أوتوماتيكية للبرامج الثابتة إلى نقاط الوصول المتصلة من خلال FTP.
مع الإشارة إلى أن حوالي 10 ٪ من 1000 جهاز في هولندا تدير إصدار البرامج الثابتة المتأثرة ، قال Teusink إن سهولة الاستغلال النسبية للخلل تجعله ثغرة شاملة.
“كماZYFWPوقال Teusink في الكتابة: “لدى المستخدم امتيازات المسؤول ، وهذا ضعف خطير.
“يمكن لأي شخص على سبيل المثال تغيير إعدادات جدار الحماية للسماح ببعض حركة المرور أو حظرها. يمكنهم أيضًا اعتراض حركة المرور أو إنشاء حسابات VPN للوصول إلى الشبكة خلف الجهاز. إلى جانب ضعف مثل Zerologon ، قد يكون ذلك مدمرًا للشركات الصغيرة والمتوسطة.”
من المتوقع أيضًا أن تعالج شركة تايوانية المشكلة في وحدات التحكم في نقطة الوصول (AP) مع تصحيح V6.10 الذي تم إصداره في أبريل 2021.
يوصى بشدة أن يقوم المستخدمون بتثبيت تحديثات البرامج الثابتة اللازمة للتخفيف من المخاطر المرتبطة بالعيوب
