Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01667: Уязвимость микропрограммного обеспечения сетевых устройств ZyXEL USG, USG VPN, ATP, ZyWALL и FLEX, связанная с незашифрованным хранением данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость микропрограммного обеспечения сетевых устройств ZyXEL USG, USG VPN, ATP, ZyWALL и FLEX связана с незашифрованным хранением данных при использовании учетной записи «zyfwp». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Вендор	Zyxel Communications Corp.
Наименование ПО	USG2200, USG110, USG210, USG1100, USG1900, USG20W-VPN, USG310, USG20-VPN, USG40, USG40W, USG60, USG60W, ATP100, ATP200, ATP500, ATP800, ATP700, ATP100W, ZyWALL 110, ZyWALL 1100, ZyWALL 310, VPN50, VPN300, VPN100, VPN000, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700
Версия ПО	4.60 (USG2200) 4.60 (USG110) 4.60 (USG210) 4.60 (USG1100) 4.60 (USG1900) 4.60 (USG20W-VPN) 4.60 (USG310) 4.60 (USG20-VPN) 4.60 (USG40) 4.60 (USG40W) 4.60 (USG60) 4.60 (USG60W) 4.60 (ATP100) 4.60 (ATP200) 4.60 (ATP500) 4.60 (ATP800) 4.60 (ATP700) 4.60 (ATP100W) 4.60 (ZyWALL 110) 4.60 (ZyWALL 1100) 4.60 (ZyWALL 310) 4.60 (VPN50) 4.60 (VPN300) 4.60 (VPN100) 4.60 (VPN000) 4.60 (USG FLEX 100) 4.60 (USG FLEX 100W) 4.60 (USG FLEX 200) 4.60 (USG FLEX 500) 4.60 (USG FLEX 700)
Тип ПО	ПО сетевого программно-аппаратного средства, Микропрограммный код, Сетевое средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Незашифрованное хранение критичной информации
Идентификатор типа ошибки	CWE-312
Класс уязвимости	Уязвимость архитектуры
Дата выявления	29.11.2020
Базовый вектор уязвимости	AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://www.zyxel.com/support/CVE-2020-29583.shtml https://www.zyxel.com/support/security_advisories.shtml https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://ftp.zyxel.com/USG40/firmware/USG40_4.60(AALA.1)C0_2.pdf https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release https://businessforum.zyxel.com/discussion/5254/whats-new-for-zld4-60-patch-1-available-on-dec-15 https://www.zyxel.com/support/CVE-2020-29583.shtml https://www.zyxel.com/support/security_advisories.shtml https://nvd.nist.gov/vuln/detail/CVE-2020-29583 https://cxsecurity.com/cveshow/CVE-2020-29583/ ww.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-29583
Прочая информация	Данные уточняются

Последние изменения