超過10萬個(gè)Zyxel 防火墻、虛擬專用網(wǎng)等設(shè)備包含一個(gè)硬編碼的管理員級別帳戶，該帳戶可以使攻擊者通過 SSH或Web管理面板對設(shè)備進(jìn)行訪問。

荷蘭安全研究人員發(fā)現(xiàn)了該后門，并建議設(shè)備所有者在允許的情況下盡快更新系統(tǒng)。安全專家表示：“從 DDoS僵尸網(wǎng)絡(luò)運(yùn)營商到國家資助的黑客組織和勒索軟件，任何人都可能濫用此后門帳戶來訪問存在漏洞的設(shè)備，進(jìn)入內(nèi)部網(wǎng)絡(luò)展開其他攻擊”。

[[373497]]

受影響的產(chǎn)品

受影響的包括許多企業(yè)級設(shè)備，甚至還有 Zyxel 的優(yōu)秀產(chǎn)品，這些產(chǎn)品通常部署在私營企業(yè)和政府網(wǎng)絡(luò)中。

受影響的產(chǎn)品包括：

• 高級威脅防護(hù)(ATP)系列 - 主要是防火墻
• 統(tǒng)一安全網(wǎng)關(guān)(USG)系列 - 主要是防火墻和網(wǎng)關(guān)
• USG FLEX 系列 - 主要是防火墻和虛擬專用網(wǎng)網(wǎng)關(guān)
• 虛擬專用網(wǎng)系列 - 主要是虛擬專用網(wǎng)網(wǎng)關(guān)
• NXC系列 - 主要是WLAN接入點(diǎn)控制器

這些設(shè)備許多都是在公司網(wǎng)絡(luò)的邊緣使用的，一旦遭到破壞，攻擊者就可以對內(nèi)網(wǎng)主機(jī)進(jìn)行攻擊。

補(bǔ)丁目前僅可用于ATP、USG、USG Flex 與虛擬專用網(wǎng)系列產(chǎn)品。根據(jù) Zyxel 的安全公告，預(yù)計(jì) NXC 系列產(chǎn)品的補(bǔ)丁將會(huì)在 2021 年 4 月發(fā)布。

后門帳戶很容易被發(fā)現(xiàn)

根據(jù)安全研究人員的說法，安裝補(bǔ)丁程序?qū)?huì)刪除該后門帳戶，該帳戶使用 zyfwp作為用戶名、PrOw!aN_fXp作為密碼。

荷蘭研究人員在 2020 年圣誕節(jié)假期之前發(fā)布的一份報(bào)告中表示：明文密碼直接存儲(chǔ)在系統(tǒng)文件中。該帳戶具有對該設(shè)備的最高訪問權(quán)限，而且該帳戶已用于通過 FTP 向其他可連接的 Zyxel 設(shè)備安裝固件更新。

物聯(lián)網(wǎng)安全研究員 Ankit Anubhav 在接受采訪時(shí)表示：Zyxel 應(yīng)該從 2016 年的后門事件中吸取教訓(xùn)。漏洞 CVE-2016-10401就是當(dāng)時(shí)發(fā)布的Zyxel設(shè)備包含一個(gè)后門，該后門允許任何人使用zyad5001作為超級用戶的密碼來將Zyxel設(shè)備上的任何帳戶提升到最高級別。

上次Zyxel的這個(gè)漏洞被多個(gè)僵尸網(wǎng)絡(luò)利用，令人驚訝的是Zyxel竟然還會(huì)犯同類的錯(cuò)誤。目前為止，漏洞CVE-2016-10401仍然在大多數(shù)基于密碼擴(kuò)張的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的武器庫中。

但是這次的CVE-2020-29583漏洞情況更加糟糕。2016年的漏洞想要利用就首先必須擁有Zyxel設(shè)備上低權(quán)限帳戶。這次的漏洞使攻擊者可以直接訪問 Zyxel 設(shè)備，無需任何特殊條件。

此前的漏洞僅可用于Telnet上，這次可以直接在443端口上嘗試使用憑據(jù)。而且 2016 年的漏洞主要影響路由器，而本次的漏洞絕大多數(shù)是公司設(shè)備。

勒索新浪潮

2019-2020 年，勒索的主要攻擊目標(biāo)就是防火墻和虛擬專用網(wǎng)。例如Pulse Secure、Fortinet、Citrix、MobileIron 和Cisco設(shè)備中的安全漏洞經(jīng)常被利用來攻擊公司和政府網(wǎng)絡(luò)。新披露的 Zyxel 漏洞可能會(huì)使更多的公司和政府機(jī)構(gòu)遭受這些攻擊。

參考來源：ZDNet