超过10万台合勤防火墙、虚拟专用网等设备包含硬编码的管理员级账号,攻击者可以通过SSH或Web访问设备管理面板访问。荷兰安全研究人员发现了后门,并建议设备所有者尽快更新他们的系统。“任何人,从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件,都可以滥用这个后门帐户来访问易受攻击的设备和对内部网络进行其他攻击,”安全专家说。受影响的产品包括许多企业级设备,甚至是Zyxel的优秀产品,这些产品通常部署在私营企业和政府网络中。受影响的产品包括:高级威胁防护(ATP)系列——主要是防火墙统一安全网关(USG)系列——主要是防火墙和网关USGFLEX系列——主要是防火墙和VPN网关VPN系列——主要是虚拟专用网络网关NXC系列——主要是WLAN接入点控制器。其中许多设备用于企业网络的边缘。一旦遭到破坏,攻击者就可以攻击内联网主机。补丁目前仅适用于ATP、USG、USGFlex和VPN系列产品。根据合勤科技的安全公告,NXC系列产品的补丁预计将于2021年4月发布。后门账户很容易被发现根据安全研究人员的说法,安装补丁将删除后门账户,该后门账户使用zyfwp作为用户名,使用PrOw!aN_fXp作为密码。荷兰研究人员在2020年圣诞节假期前发布的一份报告中表示,明文密码直接存储在系统文件中。此帐户对设备具有最高访问权限,并已用于通过FTP将固件更新安装到其他可连接的Zyxel设备。物联网安全研究员AnkitAnubhav在接受采访时表示:合勤应该从2016年的后门事件中吸取教训。漏洞CVE-2016-10401是当时发布的Zyxel设备包含一个后门,允许任何人通过使用zyad5001作为超级用户密码将Zyxel设备上的任何账户提升到最高级别。上次Zyxel的这个漏洞被多个僵尸网络利用,令人惊讶的是Zyxel会再次犯同样的错误。到目前为止,漏洞CVE-2016-10401仍然存在于大多数加密传播IoT僵尸网络中。但这次的CVE-2020-29583漏洞更加严重。2016年漏洞的利用需要Zyxel设备上的低权限帐户。这次该漏洞允许攻击者无需任何特殊条件即可直接访问Zyxel设备。之前的漏洞只能在Telnet上使用,这次可以直接在443端口尝试凭据。虽然2016年的漏洞主要影响路由器,但这次的漏洞绝大部分是公司设备。勒索软件新浪潮从2019年到2020年,勒索软件攻击的主要目标是防火墙和虚拟专用网络。PulseSecure、Fortinet、Citrix、MobileIron和Cisco等设备中的安全漏洞经常被用来攻击企业和政府网络。新披露的Zyxel漏洞可能会使更多的公司和政府机构面临这些攻击。参考来源:ZDNet
