PT-2020-5736 · Zyxel · Zyxel Usg
Niels Teusink
·
Publicado
2020-11-29
·
Atualizado
2025-11-07
·
CVE-2020-29583
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Dispositivos Zyxel USG versão 4.60
Descrição:
O problema diz respeito a uma conta não documentada
zyfwp com uma senha imutável que pode ser encontrada em texto simples no firmware dos dispositivos Zyxel USG. Essa conta permite que alguém faça login no servidor SSH ou na interface web com privilégios de administrador. A senha dessa conta é PrOw!aN fXp. Há um aumento significativo nas tentativas de acesso a esse backdoor SSH conhecido usando essas credenciais não documentadas.Recomendações:
Para dispositivos Zyxel USG versão 4.60, considere desativar a conta
zyfwp até que um patch esteja disponível. Restrinja o acesso ao servidor SSH e à interface web para minimizar o risco de exploração. Evite usar a conta zyfwp e sua senha associada PrOw!aN fXp até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Cleartext Storage of Sensitive Information
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zyxel Usg