IT资讯 黑客开始利用 Zyxel 设备中的新后门

orson · 2021-01-08 08:00:06 · 热度: 37

近日,网络安全情报公司 GreyNoise 检测到三个不同的 IP 地址,它们正在主动扫描互联网上开放的 SSH 设备,并尝试使用 Zyxel 后门账户登录。 

黑客开始利用 Zyxel 设备中的新后门

起因

去年 12 月 23 日, 荷兰网络安全公司 EYE  发表了 “Zyxel 产品中未记录的用户帐户(CVE-2020-29583)”报告,指出他们在 Zyxel USG40 最新的固件版本 (4.60 patch 0)中发现一个带哈希密码的“zyfwp”账户,并且在系统的二进制文件中可以看到明文密码。该帐户可以同时在 SSH 和 Web 接口中使用。

$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>

该账户在界面中不可见,并且其密码不可更改,攻击者可通过该账户对设备进行 root 级别的访问, 以更改防火墙设置来允许、阻止某些流量或创建VPN帐户来访问设备背后的网络 。超过 10000 台的 Zyxel 设备可能会因此遭受攻击。

受影响的设备型号

  • ATP series running firmware ZLD V4.60
  • USG series running firmware ZLD V4.60
  • USG FLEX series running firmware ZLD V4.60
  • VPN series running firmware ZLD V4.60
  • NXC2500
  • NXC5500

之后, Zyxel 在一份通报中感谢 EYE的披露,并表示“该帐户原本是用于通过 FTP 向连接的访问​​点提供自动固件更新。”

目前,Zyxel 已经发布了“ ZLD V4.60 patch1”,该补丁删除了防火墙设备上的后门帐户,并且将于 2021 年 1 月 8 日为 AP 控制器发布该补丁。

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册