Zyxel 是在防火牆、VPN 和接入控制器等產品頗有盛名的品牌,受到很多公司、企業的愛用,近日荷蘭安全研究團隊 Eye Control 在其眾多主打系列中發現了號稱「最糟糕的漏洞」,並且建議眾多用戶盡快更新系統,以免受到不肖人士的侵入與挾制造成損失。
Zyxel 傳硬式編碼漏洞,大多數主打系列都中(補充 1/4 官方消息)
根據安全研究人員通報的 CVE-2020-29583 漏洞顯示,據估算在超過 10 萬台 Zyxel 防火牆、VPN 閘道和接入控制器中內建一個寫死(hardcoded)的帳號,能夠讓攻擊者透過 SSH 介面或者網頁管理員控制面板對設備進行 root 級別訪問。安全人員警告,由於這些設備很多都是在公司網錄得邊援使用,從 DDoS 殭屍網路營運商到受國家支援的駭客組織與勒索集團,只要知道這個帳號就能濫用後門來訪問各企業的設備,進而反過來向內部網路進行攻擊。
受到影響的系列涵蓋大多數主打產品,包含下面這些系列:
【受影響的所有機型與下載更新,點這裡】
-
Advanced Threat Protection (ATP) 系列:主要用於防火牆
-
Unified Security Gateway (USG) 系列:主要用於混合防火牆或者 VPN 閘道
-
USG FLEX 系列:主要用於混合防火牆或者 VPN 閘道
-
VPN 系列:主要用於 VPN 閘道
-
NXC 系列:主要用於 WLAN 接入點控制
根據 Zyxel 的說法,目前 APT、USG、USG Flex 和 VPN 系列的修復更新已經釋出,至於 NXC 系列的修復則預計在 2021 年 4 月推出。Eye Control 表示在安裝該更新後可以刪除一個擁有設備 root 許可權的用戶名稱「zyfwp」的帳號。
◎資料來源:Eye Control、ZDnet
2021 / 01 / 04 更新
根據官方消息確認,該帳號密碼雖寫死在韌體上,但僅於前代版本存在,且僅供進行韌體更新時的自動登入讀取之用,無法進行寫入工作,在更新後將已完全移除該帳號。據實際統計,台灣受影響的設備僅 122 部, Eye Control 所公布的受影響數量為估算值。Zyxel 原廠已加緊作業,NXC 系列更新將會以最快速度在 1/8 釋出以供下載修復。
【Zyxel 資安公告,請參照此連結】
