Your browser either does not support JavaScript or you have turned JavaScript off.

兆勤科技發布硬式編碼認證漏洞資安公告

CVE: CVE-2020-29583

概要

針對防火牆和AP控制器硬式編碼認證漏洞,Zyxel發佈修補程式。該漏洞是由EYE Netherlands的研究人員發現。為獲得最佳防護,建議用戶立即進行更新。


漏洞說明

在某些Zyxel防火牆和AP控制器的“ zyfwp” 使用者帳戶中發現了一個硬式編碼認證漏洞。這個帳號主要用途是透過 FTP 向連接的AP提供自動韌體更新。


受影響產品 - 你應該怎麼做?

在對產品線進行徹底清查後,我們已確認在保固和維修期內易受攻擊的產品,如下表所示,並已發佈新韌體以解決該問題。為達到最佳防護,我們強烈建議用戶立即進行更新。

請注意,使用早期韌體版本的ATP、USG、USG FLEX和VPN防火牆以及使用SD-OS的VPN系列不受影響。如果您需要進一步的説明,請聯繫您所在的Zyxel技術團隊。

受影響產品 修補程式
防火牆
ATP 系列使用韌體版本 ZLD V4.60 2020/12 的 ZLD V4.60 Patch1
USG 系列使用韌體版本 ZLD V4.60 2020/12 的 ZLD V4.60 Patch1
USG FLEX 系列使用韌體版本 ZLD V4.60 2020/12 的 ZLD V4.60 Patch1
VPN 系列使用韌體版本 ZLD V4.60 2020/12 的 ZLD V4.60 Patch1
AP 控制器
NXC2500 2021/1/8 的V6.10 Patch1
NXC5500 2021/1/8 的V6.10 Patch1

問題詢問或漏洞回報

為獲得進一步的資訊或説明,請與當地經銷商或服務代表聯繫。如果您發現了一個漏洞,我們希望與您合作修復它--請聯繫 security@zyxel.com.tw,我們會立即回覆您。


鳴 謝

感謝 EYE公司的Niels Teusink 通報這個問題。


最新資訊公告時程:

2020/12/23 公告發布

2020/12/24 更新已鳴 謝內容