网络安全技术 ·

Zyxel产品存在后门账户,波及范围超10万


文章来源:酒仙桥六号部队

2021年1月2日,超过一百万个Zyxel防火墙、VPN网关和访问点控制器被发现包含一个硬编码的管理级后门帐户,用户名密码为zyfwp / PrOw!aN_fXp,攻击者可以通过SSH接口或web管理面板获取对设备的root权限。

安全专家警告说,任何人都可能滥用此后门帐户来访问易受攻击的设备,并转至内部网络以进行其他攻击

受影响的模块

包括Zyxel的如下产品:

  • 高级威胁防护(ATP)系列-主要用作防火墙

  • 统一安全网关(USG)系列-用作混合防火墙和VPN网关

  • USG FLEX系列-用作混合防火墙和VPN网关

  • VPN系列-用作VPN网关

  • NXC系列-用作WLAN接入点控制器

这些设备中许多设备都是在公司网络的入口使用,一旦遭到破坏,攻击者就可以进一步对内部主机发起攻击。

目前只有ATP、USG、USG Flex和VPN系列提供补丁。根据Zyxel安全公告,NXC系列的补丁预计将于2021年4月发布。

根据Eye Control研究人员的说法,安装补丁程序后将删除用户名为“zyfwp ”、密码为“PrOw!aN_fXp”的后门帐户,建议设备使用者在时间允许的情况下尽快更新系统。

物联网安全研究员Ankit Anubhav在接受ZDNet 采访时说,Zyxel在2016年发生类似事件。

当时发布的CVE-2016-10401是Zyxel设备包含一个秘密后门机制,允许任何人使用SU(超级用户)的密码“zyad5001”将Zyxel设备上的任何账户提升到root级别。

Anubhav还告诉ZDNet说:“再次看到一个硬编码凭证是令人惊讶的,因为在上一次的事件中,它被几个僵尸网络滥用,造成了较严重的后果。”

目前CVE-2016-10401仍然是大多数基于密码攻击的物联网僵尸网络的工具,但是这次的CVE-2020-29583情况更加严重。

防火墙和VPN网关的漏洞已成为2019年和2020年勒索软件攻击和网络间谍活动的主要来源之一。如Pulse Secure、Fortinet、Citrix、MobileIron和Cisco设备中的安全漏洞经常被利用来攻击公司和政府网络。

新的后门可能会使公司和政府机构受到在过去两年里的相同类型的攻击。

本文翻译自:

https://www.zdnet.com/article/backdoor-account-discovered-in-more-than-100000-zyxel-firewalls-vpn-gateways/ 

参与评论