Рекомендации Zyxel по безопасности для уязвимости системной учетной записи CVE-2020-29583

CVE: CVE-2020-29583

Обновлено: 07.01 - 15:00 CET

Резюме

Zyxel выпустила исправление для уязвимости системной учетной записи затрагивающей шлюзы безопасности и контроллеры точек доступа о которой недавно сообщили исследователи из Eye Control Netherlands. Пользователям рекомендуется установить соответствующие обновления микропрограммы (4.60 Patch 1) для оптимальной защиты.

В чем заключается уязвимость?

Уязвимость была обнаружена в системной учетной записи с именем «zyfwp» в некоторых шлюзах безопасности и контроллерах точек доступа Zyxel. Учетная запись предназначена для автоматических обновлений микропрограммы управляемых точек доступа через FTP.

Какие версии уязвимы и что делать?

После тщательного расследования мы выявили устройства затронутые уязвимостью, на которые распространяется гарантия и поддержка производителя, для которых мы выпустили микропрограммы для решения этой проблемы (см. таблицу в конце статьи). Для оптимальной защиты мы настоятельно рекомендуем пользователям установить обновления для затронутых устройств.

Обратите внимание, что шлюзы ATP, USG, USG FLEX и VPN с более ранними версиями прошивки чем указанные в таблице и серии VPN с SD-OS НЕ затрагиваются.

Посетите наш раздел часто задаваемых вопросов, чтобы получить ответы на большинство вопросов по этой рекомендации безопасности:

Часто задаваемые вопросы: расширенная информация по уязвимости CVE-2020-29583

Следующие ссылки могут помочь вам обновить версию прошивки:

Инструкция по обновлению файла микропрограммы на маршрутизаторах серии Zywall / USG / ATP / VPN

Не получается обновить микропрограмму с облака из-за сообщения "ITS installed"

Обновление микропрограммного обеспечения ZyWALL USG в режиме Device HA

Как обновить микропрограмму если установленная версия очень старая?

Если вы недавно получили исправление ошибки от службы поддержки Zyxel, вы также можете использовать нашу последнюю недельную версию, которая защищает от этой уязвимости:

Еженедельные обновления (на английском)

Примечания к выпуску для недельных обновлений (на английском)

Изменения в 4.60 Patch 1 по сравнению с 4.60 Patch 0:

1. [УЛУЧШЕНИЕ] Повышенная надежность HA Pro.
2. [ИСПРАВЛЕНИЕ ОШИБКИ] [CVE-2020-29583]
а. Исправление уязвимости для недокументированной системной учетной записи.
3. [ИСПРАВЛЕНИЕ ОШИБКИ] eITS # 201000455
а. Исправлена проблема с назначением зоны для портов.
4. [ИСПРАВЛЕНИЕ ОШИБКИ] eITS # 201100284, 201100639, 201100647
а. Исправлена проблема отображения графического интерфейса при редактировании интерфейсов.
5. [ИСПРАВЛЕНИЕ ОШИБКИ] eITS # 201100338
а. Настройка всплывающей информации при наведении курсора мыши.
6. [ИСПРАВЛЕНИЕ ОШИБКИ] eITS # 201100416, 201100564
а. Повышение устойчивости (перезагрузка шлюза).
7. [ИСПРАВЛЕНИЕ ОШИБКИ] eITS # 201100511, 201100661, 201100730, 201101210, 201101248
а. Исправлена ошибка, из-за которой пакеты DNS не могли проходить через VPN-туннель.

Загрузить полный документ с примечаниями к выпуску 4.60 patch1 и patch0 (на английском)

Если у вас есть дополнительные вопросы или возникнут какие-либо проблемы во время обновления микропрограммы, не стесняйтесь обращаться в нашу службу поддержки: Как связаться со службой поддержки?