Zyxel ผู้ผลิตและจำหน่ายอุปกรณ์เกี่ยวกับคอมพิวเตอร์และเครือข่าย ได้ปล่อย patch อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงที่พบบน firmware หลังจากพบช่องโหว่ CVE-2020-29583 เมื่อวันที่ 29 พฤศจิกายน 2563 โดยช่องโหว่นี้จะกระทบต่ออุปกรณ์หลายตัว ของ Zyxel เช่น  Unified Security Gateway (USG), USG FLEX, ATP และอุปกรณ์ประเภท VPN firewall เป็นต้น

จากการเปิดเผยข้อมูลของ Zyxel พบว่ามีบัญชีผู้ใช้งานที่ชื่อว่า “zyfwp” เป็นบัญชีที่ไม่ได้อยู่ในระบบของ Zyxel และ password ก็ไม่สามารถเปลี่ยนได้ซึ่งบัญชีดังกล่าวนี้ถูกใช้สำหรับ update firmware อัตโนมัติไปยัง access point ผ่านทาง FTP แต่ password ของบัญชีนี้ถูกเก็บอยู่ในรูปของ plaintext และมีสิทธิ์เป็น admin ทำให้ผู้ไม่หวังดีสามารถ login เข้าสู่ SSH server หรือ web interface และเข้าไปแก้ไขค่า config หรือสร้าง VPN account เพื่อเข้าสู่ network ของผู้ใช้งานได้

โดยหลังจากตรวจพบช่องโหว่ดังกล่าว  Zyxel ได้ปล่อย Patch เวอร์ชันอัปเดตเมื่อวันที่ 18 ธันวาคม 2563 สำหรับอุปกรณ์ประเภท firewall แต่สำหรับอุปกรณ์ access point controller จะมี patch ออกมาช่วงเดือนเมษายน 2564 อีกครั้ง ขอให้ผู้ใช้งานติดตามข่าวสารอัปเดตได้ที่เว็บไซต์ https://www.zyxel.com/support/security_advisories.shtml

ที่มา: https://www.zyxel.com/support/CVE-2020-29583.shtml