NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Ernstige kwetsbaarheid verholpen in Zyxel producten
Advisory ID     : NCSC-2020-1049
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2020-29583
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van beveiligingsmaatregel
                  (Remote) code execution (Administrator/Root rechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20201223
Toepassing      : Zyxel ATP series
                  Zyxel USG FLEX series
                  Zyxel USG series
                  Zyxel VPN series
                  NXC2500
                  NXC5500
Versie(s)       : ZLD V4.60 Patch0
                  V6.10 Patch0
Platform(s)     :

Beschrijving
   Er is een kwetsbaarheid verholpen in producten van Zyxel. Een
   onderzoeker heeft een ongedocumenteerde gebruiker gevonden, waarvan
   zowel de gebruikersnaam als het wachtwoord in plaintext te vinden
   waren in firmware. Dit ongedocumenteerde account beschikt over
   adminrechten.

Mogelijke oplossingen
   Zyxel heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Zyxel geeft aan dat er voor de AP controllers in april 2021 een
   update beschikbaar gesteld wordt. Voor meer informatie, zie:

   https://www.zyxel.com/support/CVE-2020-29583.shtml

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8

wsDVAwUBX+MaaE/4qUtG/lqjAQrwHwv/Ut3InBLLu4wTIFl/DlEHwn+srVWPancV
FXmdAK2DInm2o6i2o/eVkNjCVwkdgtoi1/fmrMK3qPmUZX2XiCCf2ICGWfnDviHQ
hyTDCgUDlKwxQRHMvwlYWgpWD9fGY9C6lPdVolUWKaqMEcefj7qMVtFv5jrQ3rfA
J3Gk3rRsTAsVRz8zcXf4BSB4VZ0i+TH3Bw2bo6UkJHF1gTAP1n932vZOfcasOX+4
t+2IVb/f+QrzIUXioJiabEd1qNf4zMcYp8I+oqg+28jGyhOm+H0x2D068cxVlqo6
gWBFLE6pdDSUrbDv9U+mqSnzKrQ2g8OSUSjnpkdAzTWqNf8WK85/2QxW3Zpk8EF4
YRPZR+S6gQauoLyS4anAHD0zC318xXOiEQvTuF4jDokxfzBYvcE62IPGpEnhYr8d
GFPqcWD/2+PXPjD1mVRyJi8K5AfiInDtJl/3sL6afQ0XQVw5o2pPHdbzp9FIAYqs
8OTpVmzeLUhEjcM9GHGQfDGW5mVmU2mB
=4Nqy
-----END PGP SIGNATURE-----