全球超过十万个Zyxel设备被曝存在后门

超过10万个Zyxel 防火墙、VPN等设备包含一个硬编码的管理员级别帐户，该帐户可以使攻击者通过 SSH或Web管理面板对设备进行访问。

荷兰安全研究人员发现了该后门，并建议设备所有者在允许的情况下尽快更新系统。安全专家表示：“从 DDoS僵尸网络运营商到国家资助的黑客组织和勒索软件，任何人都可能滥用此后门帐户来访问存在漏洞的设备，进入内部网络展开其他攻击”。

受影响的产品

受影响的包括许多企业级设备，甚至还有 Zyxel 的顶级产品，这些产品通常部署在私营企业和政府网络中。

受影响的产品包括：

高级威胁防护（ATP）系列 - 主要是防火墙 统一安全网关（USG）系列 - 主要是防火墙和VPN网关 USG FLEX 系列 - 主要是防火墙和 VPN 网关 VPN系列 - 主要是VPN网关 NXC系列 - 主要是WLAN接入点控制器

这些设备许多都是在公司网络的边缘使用的，一旦遭到破坏，攻击者就可以对内网主机进行攻击。

补丁目前仅可用于ATP、USG、USG Flex 与 VPN系列产品。根据 Zyxel 的安全公告，预计 NXC 系列产品的补丁将会在 2021 年 4 月发布。

后门帐户很容易被发现

根据安全研究人员的说法，安装补丁程序将会删除该后门帐户，该帐户使用 **zyfwp**作为用户名、**PrOw！aN_fXp**作为密码。

荷兰研究人员在 2020 年圣诞节假期之前发布的一份报告中表示：明文密码直接存储在系统文件中。该帐户具有对该设备的最高访问权限，而且该帐户已用于通过 FTP 向其他可连接的 Zyxel 设备安装固件更新。

物联网安全研究员 Ankit Anubhav 在接受采访时表示：Zyxel 应该从 2016 年的后门事件中吸取教训。漏洞 CVE-2016-10401就是当时发布的Zyxel设备包含一个后门，该后门允许任何人使用zyad5001作为超级用户的密码来将Zyxel设备上的任何帐户提升到最高级别。

上次Zyxel的这个漏洞被多个僵尸网络利用，令人惊讶的是Zyxel竟然还会犯同类的错误。目前为止，漏洞CVE-2016-10401仍然在大多数基于密码扩张的物联网僵尸网络的武器库中。

但是这次的CVE-2020-29583漏洞情况更加糟糕。2016年的漏洞想要利用就首先必须拥有Zyxel设备上低权限帐户。这次的漏洞使攻击者可以直接访问 Zyxel 设备，无需任何特殊条件。

此前的漏洞仅可用于Telnet上，这次可以直接在443端口上尝试使用凭据。而且 2016 年的漏洞主要影响路由器，而本次的漏洞绝大多数是公司设备。

勒索新浪潮

2019-2020 年，勒索的主要攻击目标就是防火墙和VPN。例如Pulse Secure、Fortinet、Citrix、MobileIron 和Cisco设备中的安全漏洞经常被利用来攻击公司和政府网络。新披露的 Zyxel 漏洞可能会使更多的公司和政府机构遭受这些攻击。

参考来源

ZDNet