Zyxel(合勤科技)是国际知名的网络宽带系统及解决方案的供应商。目前,全球有超过100000台Zyxel防火墙、VPN网关和访问点控制器。
Zyxel 防火墙和 AP 控制器中包含一个 “zyfwp” 帐户,密码 “PrOw!aN_fXp”,可以用 admin 权限登录受影响的设备,该帐户可通过FTP自动更新固件。由于该账户的密码不可更改,并且可以在固件中以明文形式,攻击者可以利用该帐户以管理员权限登录。
代码语言:javascript复制Username: zyfwp
Password: PrOw!aN_fXpTL;DR:如果你有一个Zyxel USG,ATP,VPN,ZyWALL或USG FLEX,你应该更新到最新的固件版本今天。您可以在这里找到受影响设备的完整列表,并在这里找到Zyxel咨询。
Zyxel是一个广受欢迎的防火墙品牌,主要面向中小型企业。他们的统一安全网关(USG)产品线经常被用作防火墙或VPN网关。由于我们很多人都是在家办公,所以最近支持VPN的设备销量相当不错。
在对我的Zyxel USG40进行研究(root)时,我惊讶地发现在最新的固件版本(4.60补丁0)中,有一个带有密码哈希的用户账号 "zyfwp"。在系统上的一个二进制文件中可以看到这个明文密码。更让我惊讶的是,这个账号似乎在SSH和Web界面上都能使用。
$ ssh zyfwp@192.168.1.252
密码:Pr*******Xp
路由器> 显示当前用户
编号:1
名称: zyfwp
类型:管理
路由器>
用户在界面上看不到,其密码也无法修改。我检查了以前的固件版本(4.39),虽然用户存在,但没有密码。看来这个漏洞是在最新的固件版本中引入的。即使旧版本没有这个漏洞,但它们也有其他漏洞(比如这个缓冲区溢出),所以你还是应该更新。
由于这些设备上的SSL VPN与Web界面在同一个端口上运行,很多用户将这些设备的443端口暴露在互联网上。利用Project Sonar的公开数据,我能够识别出荷兰大约3.000台Zyxel USG/ATP/VPN设备。在全球范围内,有超过100.000台设备将其Web界面暴露在互联网上。
根据我们的经验,这些设备的大多数用户不会经常更新固件。Zyxel设备不会将其固件版本暴露给未经认证的用户,因此确定设备是否存在漏洞是比较困难的。我们想了解受影响设备的数量,但简单地尝试密码并不是一个真正的选择(在道德和法律上)。幸运的是,一些javascript和css文件可以从这些设备的Web界面上请求,而无需验证。这些文件似乎会随着每个固件版本的发布而改变。利用这些信息,我们可以获得脆弱的固件版本的独特指纹。我们使用这些信息来识别荷兰1.000台设备的固件版本,发现大约10%的设备正在运行受影响的固件版本。Zyxel确实提供了自动更新功能,但默认情况下没有启用。幸运的是,我们能够在这个漏洞被引入几周后才发现,否则受影响的设备数量可能会更多。
由于zyfwp用户具有管理权限,这是一个严重的漏洞。攻击者可以完全破坏设备的保密性、完整性和可用性。例如,有人可以改变防火墙设置,允许或阻止某些流量。他们还可以拦截流量或创建VPN账户来获得设备背后的网络访问权限。结合Zerologon这样的漏洞,这对中小型企业来说可能是毁灭性的。
由于该漏洞的严重性以及它很容易被利用,我们决定目前不公布该账户的密码。我们确实希望其他人能够发现并发布,这就是为什么我们建议你尽快安装更新的固件。
参考文献:
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
