近日,荷兰网络安全公司Eye Control的安全研究人员发现,超过10万个合勤科技(Zyxel)公司的防火墙、接入点控制器和VPN网关产品中存在管理员级后门账户。这些在二进制代码中硬编码的管理员级别账户使攻击者可通过Web管理面板或SSH界面获得对设备的root访问权限。合勤科技(Zyxel)是一家位于中国台湾新竹的网络设备制造商。

可被轻松利用的漏洞

Zyxel固件中发现的后门被称为关键固件漏洞,CVE编号CVE-2020-29583,得分为7.8 CVSS。虽然CVSS评分看似不是很高,但却不可小觑。研究人员表示,这是一个极为严重的漏洞,所有者必须立即更新其系统。因为任何人都可以轻松利用这个漏洞,从DDoS僵尸网络运营商到勒索软件团体和政府资助的黑客。

通过滥用后门账户,网络罪犯可以访问易受攻击的设备并感染内部网络以发起其他攻击。攻击者可以使用管理特权登录设备,并轻易破坏网络设备。

研究人员Niels Teusink指出,漏洞严重性很高,因为威胁行为者随时可以发起一系列攻击,完全损害设备的机密性、完整性和可用性。

“例如,有人可以更改防火墙设置以允许或阻止某些流量。他们还可以拦截流量或创建VPN账户来访问设备背后的网络。与像Zerologon漏洞相结合,这可能对中小企业是毁灭性的。”Teusink在规定的博客文章中表示。

多种Zyxel设备面临风险

CVE-2020-29583漏洞影响许多Zyxel设备,主要是运行4.0版的设备。受影响的模块还包括企业级Zyxel设备,包括统一安全网关(USG)、ATP系列、NCX系列、USG FLEX系列和VPN系列。

Teusink说,在荷兰的1000台设备中,大约有10%使用受影响的固件版本。大部分受影响的设备都在Zyxel网络的边缘使用,攻击者可以轻松地对内部主机发起新的攻击。

合勤科技发布补丁

Teusink于11月29日将漏洞信息通知了合勤科技。12月18日,合勤发布了固件补丁“ZLD V4.60 Patch1”。补丁程序目前可用于USG FLEx系列、ATP系列、USG和VPN系列。NCX系列补丁将于2021年4月发布。

合勤科技还发布了一份公告(https://www.zyxel.com/support/CVE-2020-29583.shtml),解释该漏洞存在于硬编码的未记录账户“zyfwp”中,其密码不可更改,密码为“PrOw!aN_fXp”。该密码以明文形式存储,并且可能被恶意第三方利用。

据Zyxel称,硬编码凭据被用于通过FTP自动将固件更新分发到连接的访问点。该公司将通过将于2021年4月发布的V6.10补丁1在其AP(接入点)控制器中解决此问题。合勤敦促用户更新该公司的最新固件,以保护其设备。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。