全球超过十万个Zyxel设备被曝存在后门

安全
超过10万个Zyxel 防火墙、虚拟专用网等设备包含一个硬编码的管理员级别帐户,该帐户可以使攻击者通过 SSH或Web管理面板对设备进行访问。

超过10万个Zyxel 防火墙、虚拟专用网等设备包含一个硬编码的管理员级别帐户,该帐户可以使攻击者通过 SSH或Web管理面板对设备进行访问。

荷兰安全研究人员发现了该后门,并建议设备所有者在允许的情况下尽快更新系统。安全专家表示:“从 DDoS僵尸网络运营商到国家资助的黑客组织和勒索软件,任何人都可能滥用此后门帐户来访问存在漏洞的设备,进入内部网络展开其他攻击”。

[[373497]]

受影响的产品

受影响的包括许多企业级设备,甚至还有 Zyxel 的优秀产品,这些产品通常部署在私营企业和政府网络中。

受影响的产品包括:

  • 高级威胁防护(ATP)系列 - 主要是防火墙
  • 统一安全网关(USG)系列 - 主要是防火墙和网关
  • USG FLEX 系列 - 主要是防火墙和虚拟专用网网关
  • 虚拟专用网系列 - 主要是虚拟专用网网关
  • NXC系列 - 主要是WLAN接入点控制器

这些设备许多都是在公司网络的边缘使用的,一旦遭到破坏,攻击者就可以对内网主机进行攻击。

补丁目前仅可用于ATP、USG、USG Flex 与虚拟专用网系列产品。根据 Zyxel 的安全公告,预计 NXC 系列产品的补丁将会在 2021 年 4 月发布。

后门帐户很容易被发现

根据安全研究人员的说法,安装补丁程序将会删除该后门帐户,该帐户使用 zyfwp作为用户名、PrOw!aN_fXp作为密码。

荷兰研究人员在 2020 年圣诞节假期之前发布的一份报告中表示:明文密码直接存储在系统文件中。该帐户具有对该设备的最高访问权限,而且该帐户已用于通过 FTP 向其他可连接的 Zyxel 设备安装固件更新。

物联网安全研究员 Ankit Anubhav 在接受采访时表示:Zyxel 应该从 2016 年的后门事件中吸取教训。漏洞 CVE-2016-10401就是当时发布的Zyxel设备包含一个后门,该后门允许任何人使用zyad5001作为超级用户的密码来将Zyxel设备上的任何帐户提升到最高级别。

上次Zyxel的这个漏洞被多个僵尸网络利用,令人惊讶的是Zyxel竟然还会犯同类的错误。目前为止,漏洞CVE-2016-10401仍然在大多数基于密码扩张的物联网僵尸网络的武器库中。

但是这次的CVE-2020-29583漏洞情况更加糟糕。2016年的漏洞想要利用就首先必须拥有Zyxel设备上低权限帐户。这次的漏洞使攻击者可以直接访问 Zyxel 设备,无需任何特殊条件。

此前的漏洞仅可用于Telnet上,这次可以直接在443端口上尝试使用凭据。而且 2016 年的漏洞主要影响路由器,而本次的漏洞绝大多数是公司设备。

勒索新浪潮

2019-2020 年,勒索的主要攻击目标就是防火墙和虚拟专用网。例如Pulse Secure、Fortinet、Citrix、MobileIron 和Cisco设备中的安全漏洞经常被利用来攻击公司和政府网络。新披露的 Zyxel 漏洞可能会使更多的公司和政府机构遭受这些攻击。

参考来源:ZDNet

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-08-27 18:09:05

2022-06-28 09:00:00

机器学习人工智能安全

2012-02-01 09:34:50

2021-09-12 14:48:05

谷歌薪酬福利

2010-11-04 09:26:56

2014-07-22 13:16:11

iOSiOS安全后门

2020-11-20 15:18:01

替换项目代码

2013-12-04 13:51:04

D-Link路由器路由器后门

2013-03-20 16:05:38

2012-02-01 17:38:09

2022-08-22 10:08:37

内核漏洞安全苹果

2015-07-19 19:45:07

2014-06-20 10:17:51

2013-02-21 15:54:29

2019-08-27 08:43:15

2023-06-01 19:06:00

2021-11-30 18:44:17

漏洞Zoom网络攻击

2023-06-21 11:19:21

2023-06-05 11:56:57

2024-11-11 16:21:38

点赞
收藏

51CTO技术栈公众号