Lỗ hổng có định danh CVE-2 020-29583 (điểm CVSS 7,8) ảnh hưởng đến phiên bản 4.60 trên một loạt các thiết bị Zyxel, bao gồm USG, USG FLEX, ATP và các sản phẩm tường lửa VPN.
Nhà nghiên cứu Niels Teusink của EYE đã báo cáo lỗ hổng cho Zyxel vào ngày 29/11/2020. Sau đó, Zyxel đã phát hành bản vá firmware (ZLD V4.60 Patch1) ngày 18/12/2020.
Cùng với đó, Zyxel khuyến cáo tài khoản bí mật "zyfwp" đi kèm với một mật khẩu không thể thay đổi "PrOw!AN_fXp" được lưu trữ ở dạng plaintext và có thể bị bên thứ ba sử dụng để đăng nhập vào máy chủ SSH hoặc giao diện web với đặc quyền quản trị. Các thông tin xác thực được mã hóa cứng cung cấp các bản cập nhật firmware tự động cho các điểm truy cập được kết nối thông qua FTP.
Khoảng 10% trong số 1.000 thiết bị tại Hà Lan sử dụng phiên bản firmware bị ảnh hưởng. Teusink cho biết đây là lỗ hổng nghiêm trọng bởi tương đối dễ khai thác. Tin tặc có thể xâm phạm tính bảo mật, tính toàn vẹn và tính khả dụng của thiết bị.
Danh sách các sản phẩm bị ảnh hưởng
Zyxel dự kiến sẽ giải quyết lỗ hổng trong bộ điều khiển điểm truy cập (AP) của hãng qua bản vá V6.10 Patch1 dự kiến phát hành vào tháng 4/2021. Người dùng được khuyến cáo cài đặt các bản cập nhật firmware cần thiết để giảm thiểu rủi ro mất an toàn thông tin.
M.H
10:00 | 09/04/2020
09:00 | 05/06/2018
13:25 | 07/04/2015
10:00 | 01/06/2023
08:00 | 07/02/2025
Cracked và Nulled, hai trong số các diễn đàn tấn công mạng lớn nhất thế giới với hơn 10 triệu người dùng vừa bị các nhà chức trách đánh sập.
09:00 | 24/01/2025
Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.
15:00 | 23/01/2025
Một trong những cách hiệu quả nhất để các chuyên gia công nghệ thông tin (CNTT) phát hiện ra điểm yếu của công ty trước khi tin tặc tấn công là kiểm thử xâm nhập. Bằng cách mô phỏng các cuộc tấn công mạng trong thế giới thực, kiểm thử xâm nhập, đôi khi được gọi là pentest, cung cấp những hiểu biết vô giá về tình hình bảo mật của tổ chức, phát hiện ra những điểm yếu có khả năng dẫn đến vi phạm dữ liệu hoặc các sự cố bảo mật khác.
16:00 | 18/12/2024
Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.
Mới đây, Kaspersky Lab đã ghi nhận một loại mã độc mới có khả năng đánh cắp dữ liệu từ ảnh trên iPhone bằng cách sử dụng WannaCry và kỹ thuật nhận dạng ký tự quang học (OCR).
15:00 | 11/02/2025