超过10万个Zyxel 防火墙、VPN等设备包含一个硬编码的管理员级别帐户,该帐户可以使攻击者通过 SSH或Web管理面板对设备进行访问。
荷兰安全研究人员发现了该后门,并建议设备所有者在允许的情况下尽快更新系统。安全专家表示:“从 DDoS僵尸网络运营商到国家资助的黑客组织和勒索软件,任何人都可能滥用此后门帐户来访问存在漏洞的设备,进入内部网络展开其他攻击”。
受影响的产品
受影响的包括许多企业级设备,甚至还有 Zyxel 的顶级产品,这些产品通常部署在私营企业和政府网络中。
受影响的产品包括:
高级威胁防护(ATP)系列 - 主要是防火墙 统一安全网关(USG)系列 - 主要是防火墙和VPN网关 USG FLEX 系列 - 主要是防火墙和 VPN 网关 VPN系列 - 主要是VPN网关 NXC系列 - 主要是WLAN接入点控制器
这些设备许多都是在公司网络的边缘使用的,一旦遭到破坏,攻击者就可以对内网主机进行攻击。
补丁目前仅可用于ATP、USG、USG Flex 与 VPN系列产品。根据 Zyxel 的安全公告,预计 NXC 系列产品的补丁将会在 2021 年 4 月发布。
后门帐户很容易被发现
根据安全研究人员的说法,安装补丁程序将会删除该后门帐户,该帐户使用 **zyfwp**
作为用户名、**PrOw!aN_fXp**
作为密码。
荷兰研究人员在 2020 年圣诞节假期之前发布的一份报告中表示:明文密码直接存储在系统文件中。该帐户具有对该设备的最高访问权限,而且该帐户已用于通过 FTP 向其他可连接的 Zyxel 设备安装固件更新。
物联网安全研究员 Ankit Anubhav 在接受采访时表示:Zyxel 应该从 2016 年的后门事件中吸取教训。漏洞 CVE-2016-10401就是当时发布的Zyxel设备包含一个后门,该后门允许任何人使用zyad5001作为超级用户的密码来将Zyxel设备上的任何帐户提升到最高级别。
上次Zyxel的这个漏洞被多个僵尸网络利用,令人惊讶的是Zyxel竟然还会犯同类的错误。目前为止,漏洞CVE-2016-10401仍然在大多数基于密码扩张的物联网僵尸网络的武器库中。
但是这次的CVE-2020-29583漏洞情况更加糟糕。2016年的漏洞想要利用就首先必须拥有Zyxel设备上低权限帐户。这次的漏洞使攻击者可以直接访问 Zyxel 设备,无需任何特殊条件。
此前的漏洞仅可用于Telnet上,这次可以直接在443端口上尝试使用凭据。而且 2016 年的漏洞主要影响路由器,而本次的漏洞绝大多数是公司设备。
勒索新浪潮
2019-2020 年,勒索的主要攻击目标就是防火墙和VPN。例如Pulse Secure、Fortinet、Citrix、MobileIron 和Cisco设备中的安全漏洞经常被利用来攻击公司和政府网络。新披露的 Zyxel 漏洞可能会使更多的公司和政府机构遭受这些攻击。
参考来源
ZDNet