Nezdokumentovaný uživatelský účet ve firmwaru firewallů Zyxel

Společnost Zyxel vydala opravu svého firmware pro bezpečnostní zařízení - verzi 4.60 patch 1. Firmware opravuje chybu předchozí verze 4.60 patch 0, která obsahovala skrytý administrátorský účet zyfwp s pevným a nezměnitelným heslem. Tento účet byl vytvořen pro automatické updaty přes FTP, ale bylo možné se pomocí něho přihlásit i k webovému rozhraní a k ssh serveru zařízení a to s administrátorkým oprávněním. Pokud tedy máte Zyxel USG, ATP, VPN, ZyWALL nebo USG FLEX, měli byste provést aktualizaci na nejnovější verzi firmwaru. Úplný seznam dotčených zařízení včetně nového firmware najdete na stránkách Zyxelu zde a oficiální zprávu společnosti Zyxel zde.