حساب کاربری مخفی در محصولات Zyxel

حساب کاربری مخفی در محصولات Zyxel Zyxel وصله¬ای را برای رفع آسیب¬پذیری مهمی در میان افزار خود منتشر کرده است. این آسیب¬پذیری در رابطه با یک حساب کاربری مخفی با دسترسی مدیریتی است که اکنون افشاء شده است و مهاجمان می¬توانند از این حساب کاربری برای ورود به سیستم و به خطر انداختن دستگاه¬های شبکه سوء¬استفاده نمایند.

این نقص که با شناسه CVE-2020-29583 پیگیری می­شود، طیف وسیعی از دستگاه­های Zyxel، از جمله Unified Security Gateway (USG) ، USG FLEX ، ATP و  فایروال­های VPN را تحت تأثیر می­گذارد. جدول 1 محصولات تحت تاثیر این آسیب­پذیری را نمایش می­دهد.

 

سری محصولات تحت تاثیر

زمان ارائه وصله

                                                                                      Firewalls

ATP series running firmware ZLD V4.60

ZLD V4.60 Patch1 in Dec. 2020

USG series running firmware ZLD V4.60

ZLD V4.60 Patch1 in Dec. 2020

USG FLEX series running firmware ZLD V4.60

ZLD V4.60 Patch1 in Dec. 2020

VPN series running firmware ZLD V4.60

ZLD V4.60 Patch1 in Dec. 2020

                                                                                  AP controllers

NXC2500

V6.10 Patch1 in April 2021

NXC5500

V6.10 Patch1 in April 2021

                                                                                                         

                                                                                                               جدول 1 - محصولات تحت تاثیر آسیب­پذیری

 

توصیه می­شود، کاربران برای کاهش خطر مرتبط با این نقص­، به­روزرسانی­های میان افزار را نصب کنند. همچنین انتظار می­رود، این شرکت تایوانی با انتشار وصله V6.10 Patch1 که قرار است، در آوریل سال 2021 منتشر شود، این مسئله را در کنترل کننده­های Access Point (AP) خود حل کند.

 

منبع:

https://thehackernews.com/2021/01/secret-backdoor-account-found-in.htm