2021年1月4日，安识科技A-Team团队监测到Zyxel 发布了一个内置用户登录的安全通告，漏洞编号为CVE-2020-29583。Zyxel（合勤科技）是国际知名的网络宽带系统及解决方案的供应商。zyxel 的防火墙，AP控制器产品中存在一处漏洞，漏洞允许使用用户zyfwp以admin权限登录受影响的设备。目前，Zyxel已经发布了此漏洞的部分安全更新，安识科技建议广大用户及时更新，以免遭受此漏洞攻击。

Zyxel防火墙和AP控制器中包含一个zyfwp帐户，该账户内置在设备固件中，无法查看、删除和修改密码，该账户作用为通过ftp自动对设备下发固件升级，但因错误配置导致攻击者可以利用该帐户以管理员权限登录。

攻击者可以利用zyfwp账户以管理员权限登录设备。

漏洞影响的版本包括：

zyxel:ap_controller_nxc_2500: *

zyxel:ap_controller_nxc_5500: *

zyxel:atp_firmware: 4.60

zyxel:usg_firmware: 4.60

zyxel:usg_flex_firmware: 4.60

zyxel:vpn_firmware: 4.60

Zyxel已经发布安全更新，安识科技建议广大用户及时前往官网进行更新修复。

【-】2020年12月23日 Zyxel官方发布安全公告

【-】2021年1月4日 安识科技A-Team团队根据公告分析

【-】2021年1月4日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/150741.html