超过100,000的Zyxel设备可能会受到由用于更新防火墙和AP控制器固件的硬编码凭据所导致的秘密后门的攻击。
荷兰网络安全公司EYE的Niels Teusink在最新的4.60 patch 0固件中为某些Zyxel设备发现了一个秘密的硬编码管理帐户。
$ ssh zyfwp@192.168.1.252
Password: Pr ******* Xp
Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>该帐户未在Zyxel用户界面中显示,并且具有“ zyfwp”的登录名和静态纯文本密码。由于此漏洞的严重性,BleepingComputer决定不发布密码。
Teusink发现该帐户可用于通过SSH和Web界面登录易受攻击的设备。由于SSL VPN接口与Web接口在同一端口上运行,因此Teusink发现许多用户已允许Internet上的端口443进行访问。
“由于这些设备上的SSL VPN与Web界面在同一端口上运行,因此许多用户已将这些设备的端口443暴露给了互联网。使用来自Sonar项目的公开数据,我能够识别出约3.000 Zyxel USG / ATP /荷兰。全球VPN设备,超过100.000设备已经暴露了他们的web界面到互联网,” Teusink报道。
VPN设备漏洞极为危险,因为它们可用于创建新的VPN帐户来访问内部网络或创建端口转发规则以使内部服务可公开访问。
“例如,某人可以更改防火墙设置以允许或阻止某些流量。他们还可以拦截流量或创建VPN帐户来访问设备背后的网络。再加上Zerologon这样的漏洞,对中小型企业来说可能是灾难性的, Teusink警告。
这些类型的漏洞已成为威胁参与者的最爱,众所周知,这些参与者利用Pulse Secure,Fortinet和Citrix Netscaler VPN漏洞来部署勒索软件或破坏内部公司网络以窃取数据。
受影响设备的管理员应尽快将其设备升级到最新固件。
合勤科技发布防火墙新固件
Zyxel在一份通报中感谢EYE的披露,并表示他们使用硬编码凭证通过FTP传送自动固件更新。
zyfwp“硬编码凭证漏洞在被认定‘’在一些合勤防火墙和AP控制器的用户帐户,该帐户已被设计通过FTP传送自动固件更新到所连接的接入点,”国家ZyXEL的咨询。
Zyxel已发布ZLD V4.60补丁1,以删除易受攻击的ATP,USG,USG Flex和VPN设备中的硬编码凭据。Zyxel指出,使用较早版本的固件或SD-OS的ATP,USG,USG FLEX和VPN防火墙不受影响。
NXC AP控制器补丁预计于2021年4月发布。
受影响的Zyxel产品和修补程序列表如下。
| Affected product series | Patch available in |
|---|---|
| Firewalls | |
| ATP series running firmware ZLD V4.60 | ZLD V4.60 Patch1 in Dec. 2020 |
| USG series running firmware ZLD V4.60 | ZLD V4.60 Patch1 in Dec. 2020 |
| USG FLEX series running firmware ZLD V4.60 | ZLD V4.60 Patch1 in Dec. 2020 |
| VPN series running firmware ZLD V4.60 | ZLD V4.60 Patch1 in Dec. 2020 |
| AP controllers | |
| NXC2500 | V6.10 Patch1 in April 2021 |
| NXC5500 | V6.10 Patch1 in April 2021 |
*编译:Domino
*来自:thehackernews