兆勤科技發布硬式編碼認證漏洞資安公告
CVE: CVE-2020-29583
概要
針對防火牆和AP控制器硬式編碼認證漏洞,Zyxel發佈修補程式。該漏洞是由EYE Netherlands的研究人員發現。為獲得最佳防護,建議用戶立即進行更新。
漏洞說明
在某些Zyxel防火牆和AP控制器的“ zyfwp” 使用者帳戶中發現了一個硬式編碼認證漏洞。這個帳號主要用途是透過 FTP 向連接的AP提供自動韌體更新。
受影響產品 - 你應該怎麼做?
在對產品線進行徹底清查後,我們已確認在保固和維修期內易受攻擊的產品,如下表所示,並已發佈新韌體以解決該問題。為達到最佳防護,我們強烈建議用戶立即進行更新。
請注意,使用早期韌體版本的ATP、USG、USG FLEX和VPN防火牆以及使用SD-OS的VPN系列不受影響。如果您需要進一步的説明,請聯繫您所在的Zyxel技術團隊。
| 受影響產品 | 修補程式 |
|---|---|
| 防火牆 | |
| ATP 系列使用韌體版本 ZLD V4.60 | 2020/12 的 ZLD V4.60 Patch1 |
| USG 系列使用韌體版本 ZLD V4.60 | 2020/12 的 ZLD V4.60 Patch1 |
| USG FLEX 系列使用韌體版本 ZLD V4.60 | 2020/12 的 ZLD V4.60 Patch1 |
| VPN 系列使用韌體版本 ZLD V4.60 | 2020/12 的 ZLD V4.60 Patch1 |
| AP 控制器 | |
| NXC2500 | 2021/1/8 的V6.10 Patch1 |
| NXC5500 | 2021/1/8 的V6.10 Patch1 |
問題詢問或漏洞回報
為獲得進一步的資訊或説明,請與當地經銷商或服務代表聯繫。如果您發現了一個漏洞,我們希望與您合作修復它--請聯繫 security@zyxel.com.tw,我們會立即回覆您。
鳴 謝
感謝 EYE公司的Niels Teusink 通報這個問題。
最新資訊公告時程:
2020/12/23 公告發布
2020/12/24 更新已鳴 謝內容