知名网络设备商合勤科技 Zyxel 近日被资安人员发现一个非常糟糕的漏洞,超过 10 万台网络设备产品出现被写死在固件的“硬式编码漏洞”。
据 Eye Control Netherlands 资安研究人员通报,名为 CVE-2020-29583 的漏洞显示,能让骇客透过 SSH 界面或网页管理员控制面板直接 root 等级存取设备,情况相当严重。Zyxel 官方也紧急推出固件更新,希望用户尽快更新。虽然目前媒体预估全球将有十万台设备有问题,但台湾目前仅有 122 台,且官方已通知客户。
受影响的产品包括 ATP 系列、USG 系列、USG FLEX 系列和 VPN 系列,还有 NXC2500 和 NXC5500 AP 控制器等,基本涵盖大部分主流设备,能在版本号为 4.60 的固件轻易发现一个明码的管理员账号。防火墙、VPN 和接入点控制器都将受到威胁。官方表示,这主要用途是对设备更新 AP 固件的。
业者已紧急于官网发布更新,目前需更新的机种型号及进度如下图。
▲ 相关更新已可在官方网站下载。(Source:Zyxel)
不过还有部分设备如 NXC 系列更新可能要等到 4 月才有办法推送。固件更新后将能顺利删掉账号 zyfwp,值得一提的是,此次反而是一些老旧设备或更早期固件版本没有问题,还不需急着更新,还有运行 SD-OS 的 VPN 系列产品也不受影响。
专家表示,若不尽早修复,可能对企业造成毁灭性打击,尤其 Zyxel 是中小企业普遍使用的网通设备,应付大规模资安攻击相当吃力,且通常连定期更新固件都很少。此漏洞能使骇客有完整存取企业网络、窃取资讯甚至破坏设备的能力,不可不慎。
官方补充: NXC 系列的修补程式已确定将在 1 月 8 日发送,若旧设备不更新,请先关闭设备的 FTP 功能,或是以指定 IP 的方式使用,详情请参考此网站。
- Zyxel security advisory for hardcoded credential vulnerability
- An Exposed Username and Password Leaves Over 100,000 Zyxel Firewalls and VPN Gateways Open to Severe Attacks
- Backdoor account discovered in more than 100,000 Zyxel firewalls, VPN gateways
(首图来源:Flickr/Norlando Pobre CC BY 2.0)
延伸阅读:
- 强化网络身份验证!日媒:凸版收购台湾软件商盖特
- 惟恐天下不乱!骇客劫持家用安全装置大搞“诬报警”害人戏码
- 倍受网络监控的一年!疫情让科技大咖赚饱饱,却牺牲你我的资安与隐私?
- 网传 Epic Games 启动器莫名占用 CPU,官方承认出包正修复
