Тайванският производител на мрежови устройства Zyxel потвърди за уязвимост в стотици хиляди от неговите устройства. Дупката е под номер CVE-2020-29583 и представлява недокументиран скрит акаунт, който притежава администраторско ниво на достъп. Проблемът е, че скрития акаунт с името "zyfwp" използва парола в незащитен формат, която не може да се променя. Така недоброжелател може да поеме пълния контрол над устройството, да получи достъп до мрежата зад устройството, да блокира или пресича определен трафик, да създава VPN акаунти и т.н.
Zyxel поясняват, че скрития акаунт е проектиран да доставя автоматични актуализации за firmware. След проведено разследване, са идентифицирани всички уязвими продукти и за тях е издадена актуализация на фърмуера, за да разреши проблема. За оптимална защита се препоръчва потребителите да инсталират актуализациите още днес. Повече информация за засегнатите устройства и пачовете за тях ще намерите на:
https://www.zyxel.com/support/CVE-2020-29583.shtml
