Byla objevena závažná zranitelnost zařízení Zyxel s označením CVE-2020-29583. Ve firmwaru zařízení Zyxel řady ATP, USG, USG FLEX a VPN verze 4.6 a AP controllerů NXC2500, NXC5500 verze 6.00 až 6.10 je od výrobce nastaven skrytý nezdokumentovaný účet “zyfwp” s administrátorským oprávněním a napevno přiděleným heslem, které je na každém zařízení stejné. Heslo k tomuto účtu lze ze systému získat v čitelné podobě a bylo již v řadě veřejně přístupných článcích zveřejněno. V případě vystavení rozhraní do internetu může být tento účet snadno zneužit útočníky např. k rekonfiguraci firewallu, přidání VPN účtů nebo odposlechu provozu, což může vést k celkové kompromitaci infrastruktury.

Zyxel již vydal aktualizaci pro zařízení řad ATP, USG, USG FLEX a VPN, pro další zasažené produkty je naplánované vydání 8.1.2021. Všem, kdo některá z těchto zařízení ve své síti používají, důrazně doporučujeme aktualizaci provést.

Starší verze firmwaru (před V6.00) nemají tento účet nastaven, mohou být ovšem náchylné na současnými verzemi již opravené zranitelnosti a aktualizace na poslední verzi je tedy doporučena i pro ně.

Společnost Zyxel vydala opravu, která řeší kritickou zranitelnost firmwaru týkající se napevno zakódovaného tajného účtu bez dokladů, který by mohl útočník zneužít k přihlášení pomocí oprávnění správce a zneužití svých síťových zařízení.