超過(guò)10萬(wàn)個(gè)Zyxel 防火墻、虛擬專用網(wǎng)等設(shè)備包含一個(gè)硬編碼的管理員級(jí)別帳戶，該帳戶可以使攻擊者通過(guò) SSH或Web管理面板對(duì)設(shè)備進(jìn)行訪問(wèn)。

荷蘭安全研究人員發(fā)現(xiàn)了該后門(mén)，并建議設(shè)備所有者在允許的情況下盡快更新系統(tǒng)。安全專家表示：“從 DDoS僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商到國(guó)家資助的黑客組織和勒索軟件，任何人都可能濫用此后門(mén)帳戶來(lái)訪問(wèn)存在漏洞的設(shè)備，進(jìn)入內(nèi)部網(wǎng)絡(luò)展開(kāi)其他攻擊”。

[[373497]]

受影響的產(chǎn)品

受影響的包括許多企業(yè)級(jí)設(shè)備，甚至還有 Zyxel 的優(yōu)秀產(chǎn)品，這些產(chǎn)品通常部署在私營(yíng)企業(yè)和政府網(wǎng)絡(luò)中。

受影響的產(chǎn)品包括：

• 高級(jí)威脅防護(hù)(ATP)系列 - 主要是防火墻
• 統(tǒng)一安全網(wǎng)關(guān)(USG)系列 - 主要是防火墻和網(wǎng)關(guān)
• USG FLEX 系列 - 主要是防火墻和虛擬專用網(wǎng)網(wǎng)關(guān)
• 虛擬專用網(wǎng)系列 - 主要是虛擬專用網(wǎng)網(wǎng)關(guān)
• NXC系列 - 主要是WLAN接入點(diǎn)控制器

這些設(shè)備許多都是在公司網(wǎng)絡(luò)的邊緣使用的，一旦遭到破壞，攻擊者就可以對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行攻擊。

補(bǔ)丁目前僅可用于ATP、USG、USG Flex 與虛擬專用網(wǎng)系列產(chǎn)品。根據(jù) Zyxel 的安全公告，預(yù)計(jì) NXC 系列產(chǎn)品的補(bǔ)丁將會(huì)在 2021 年 4 月發(fā)布。

后門(mén)帳戶很容易被發(fā)現(xiàn)

根據(jù)安全研究人員的說(shuō)法，安裝補(bǔ)丁程序?qū)?huì)刪除該后門(mén)帳戶，該帳戶使用 zyfwp作為用戶名、PrOw!aN_fXp作為密碼。

荷蘭研究人員在 2020 年圣誕節(jié)假期之前發(fā)布的一份報(bào)告中表示：明文密碼直接存儲(chǔ)在系統(tǒng)文件中。該帳戶具有對(duì)該設(shè)備的最高訪問(wèn)權(quán)限，而且該帳戶已用于通過(guò) FTP 向其他可連接的 Zyxel 設(shè)備安裝固件更新。

物聯(lián)網(wǎng)安全研究員 Ankit Anubhav 在接受采訪時(shí)表示：Zyxel 應(yīng)該從 2016 年的后門(mén)事件中吸取教訓(xùn)。漏洞 CVE-2016-10401就是當(dāng)時(shí)發(fā)布的Zyxel設(shè)備包含一個(gè)后門(mén)，該后門(mén)允許任何人使用zyad5001作為超級(jí)用戶的密碼來(lái)將Zyxel設(shè)備上的任何帳戶提升到最高級(jí)別。

上次Zyxel的這個(gè)漏洞被多個(gè)僵尸網(wǎng)絡(luò)利用，令人驚訝的是Zyxel竟然還會(huì)犯同類的錯(cuò)誤。目前為止，漏洞CVE-2016-10401仍然在大多數(shù)基于密碼擴(kuò)張的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的武器庫(kù)中。

但是這次的CVE-2020-29583漏洞情況更加糟糕。2016年的漏洞想要利用就首先必須擁有Zyxel設(shè)備上低權(quán)限帳戶。這次的漏洞使攻擊者可以直接訪問(wèn) Zyxel 設(shè)備，無(wú)需任何特殊條件。

此前的漏洞僅可用于Telnet上，這次可以直接在443端口上嘗試使用憑據(jù)。而且 2016 年的漏洞主要影響路由器，而本次的漏洞絕大多數(shù)是公司設(shè)備。

勒索新浪潮

2019-2020 年，勒索的主要攻擊目標(biāo)就是防火墻和虛擬專用網(wǎng)。例如Pulse Secure、Fortinet、Citrix、MobileIron 和Cisco設(shè)備中的安全漏洞經(jīng)常被利用來(lái)攻擊公司和政府網(wǎng)絡(luò)。新披露的 Zyxel 漏洞可能會(huì)使更多的公司和政府機(jī)構(gòu)遭受這些攻擊。

參考來(lái)源：ZDNet