freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

全球超过十万个Zyxel设备被曝存在后门
2021-01-03 22:24:59

超过10万个Zyxel 防火墙、VPN等设备包含一个硬编码的管理员级别帐户,该帐户可以使攻击者通过 SSH或Web管理面板对设备进行访问。

荷兰安全研究人员发现了该后门,并建议设备所有者在允许的情况下尽快更新系统。安全专家表示:“从 DDoS僵尸网络运营商到国家资助的黑客组织和勒索软件,任何人都可能滥用此后门帐户来访问存在漏洞的设备,进入内部网络展开其他攻击”。

受影响的产品

受影响的包括许多企业级设备,甚至还有 Zyxel 的顶级产品,这些产品通常部署在私营企业和政府网络中。

受影响的产品包括:

高级威胁防护(ATP)系列 - 主要是防火墙

统一安全网关(USG)系列 - 主要是防火墙和VPN网关

USG FLEX 系列 - 主要是防火墙和 VPN 网关

VPN系列 - 主要是VPN网关

NXC系列 - 主要是WLAN接入点控制器

这些设备许多都是在公司网络的边缘使用的,一旦遭到破坏,攻击者就可以对内网主机进行攻击。

补丁目前仅可用于ATP、USG、USG Flex 与 VPN系列产品。根据 Zyxel 的安全公告,预计 NXC 系列产品的补丁将会在 2021 年 4 月发布

后门帐户很容易被发现

根据安全研究人员的说法,安装补丁程序将会删除该后门帐户,该帐户使用 zyfwp作为用户名、PrOw!aN_fXp作为密码

荷兰研究人员在 2020 年圣诞节假期之前发布的一份报告中表示:明文密码直接存储在系统文件中。该帐户具有对该设备的最高访问权限,而且该帐户已用于通过 FTP 向其他可连接的 Zyxel 设备安装固件更新。

物联网安全研究员 Ankit Anubhav 在接受采访时表示:Zyxel 应该从 2016 年的后门事件中吸取教训。漏洞 CVE-2016-10401就是当时发布的Zyxel设备包含一个后门,该后门允许任何人使用zyad5001作为超级用户的密码来将Zyxel设备上的任何帐户提升到最高级别

上次Zyxel的这个漏洞被多个僵尸网络利用,令人惊讶的是Zyxel竟然还会犯同类的错误。目前为止,漏洞CVE-2016-10401仍然在大多数基于密码扩张的物联网僵尸网络的武器库中。

但是这次的CVE-2020-29583漏洞情况更加糟糕。2016年的漏洞想要利用就首先必须拥有Zyxel设备上低权限帐户。这次的漏洞使攻击者可以直接访问 Zyxel 设备,无需任何特殊条件。

此前的漏洞仅可用于Telnet上,这次可以直接在443端口上尝试使用凭据。而且 2016 年的漏洞主要影响路由器,而本次的漏洞绝大多数是公司设备。

勒索新浪潮

2019-2020 年,勒索的主要攻击目标就是防火墙和VPN。例如Pulse Secure、Fortinet、Citrix、MobileIron 和Cisco设备中的安全漏洞经常被利用来攻击公司和政府网络。新披露的 Zyxel 漏洞可能会使更多的公司和政府机构遭受这些攻击。

参考来源

ZDNet

# 后门 # Zyxel
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录