Zyxel opravil zásadní bezpečnostní chybu. Ta umožňovala na firewallu/routeru otevřít web shell a získat tak kompletní kontrolu. stačilo poslat http/https požadavek na zařízení. Týká se určitých modelů firewallů. Viz CVE-2022-30525 a Zyxel silently patches command-injection vulnerability with 9.8 severity rating
Firewall a VPN zařízení od Zyxelu jsou napadány hackery. Stačí aby zařízení bylo přístupné z Internetu a útočník se dokáže dostat dovnitř aniž by potřebovali přihlašovací údaje. Pokud nějaké z postižených zařízení máte, je třeba ho zabezpečit (návod zde), oprava prozatím není k dispozici.
Zadní vrátka (backdoor) ve firewallech a VPN Zyxelu. Oprava už byla vydána. Proč nechali ve firmware natvrdo vložený tajný účet (zyfwp) s heslem v plaintextu (co nejde změnit) a použitelný pro vstup do administrativy (i SSH) se ale chápe dost těžko. Detaily v CVE-2020-29583 a https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html