Sluit

Ernstige kwetsbaarheid in Zyxel producten

23 dec 2020

Netwerkfabrikant Zyxel heeft updates beschikbaar gesteld waarmee een ernstige kwetsbaarheid in de eigen apparatuur wordt verholpen. Het betreft CVE-2020-29583. Deze kwetsbaarheid is ingeschaald als "high/high"; de kans op misbruik op korte termijn is groot én de potentiële schade is groot.

 

Wat is er aan de hand?

Zyxel brengt met producten als de Zyxel USG, ATP, VPN, ZyWALL en USG FLEX firewalls op de markt die met name populair zijn bij kleine en middelgrote bedrijven. In firmware versie 4.60 voor de bovengenoemde producten is recent een niet-gedocumenteerd gebruikersaccount aangetroffen met beheerrechten. Dit gebruikersaccount is direct uit de firmware op te halen en bevat een wachtwoord dat niet aan te passen is.

 

Wat is het risico van deze Zyxel kwetsbaarheid?

Door gebruik te maken van dit gebruikersaccount kan een aanvaller bijvoorbeeld inloggen op de SSH-server of webinterface met beheerdersrechten. Hierdoor kan de vertrouwelijkheid, integriteit en beschikbaarheid van het apparaat volledig in gevaar gebracht worden. Zo kan de aanvaller bijvoorbeeld specifieke firewall-instellingen wijzigen, verkeer onderscheppen of VPN-accounts maken om toegang te krijgen tot het netwerk achter het apparaat.

 

Welke Zyxel producten zijn kwetsbaar?

  • ATP series (firmware ZLD V4.60)
  • USG series (firmware ZLD V4.60)
  • USG FLEX series (firmware ZLD V4.60)
  • VPN series (firmware ZLD V4.60)
  • NXC2500
  • NXC5500
     

Wat kun je doen?

Wanneer je gebruik maakt van een van de bovenstaande producten of hier niet zeker van bent, is het aan te raden contact op te nemen met je IT-dienstverlener. Vraag na of de beschikbare update is geïnstalleerd. Is dit niet het geval, dan raden wij aan deze zo spoedig mogelijk te (laten) installeren. Daarnaast is het aan te raden om SSH en webinterface toegang naar dit soort producten niet beschikbaar te maken via internet of dit te beperken tot een aantal IP-adressen. De netwerkfabrikant geeft aan dat er voor de AP controllers (NXC2500, NXC5500) in april 2021 een update beschikbaar gesteld wordt.

Op de website van Zyxel vind je alle noodzakelijke informatie hierover.