近日,网络安全情报公司 GreyNoise 检测到三个不同的 IP 地址,它们正在主动扫描互联网上开放的 SSH 设备,并尝试使用 Zyxel 后门账户登录。
起因
去年 12 月 23 日, 荷兰网络安全公司 EYE 发表了 “Zyxel 产品中未记录的用户帐户(CVE-2020-29583)”报告,指出他们在 Zyxel USG40 最新的固件版本 (4.60 patch 0)中发现一个带哈希密码的“zyfwp”账户,并且在系统的二进制文件中可以看到明文密码。该帐户可以同时在 SSH 和 Web 接口中使用。
$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>
该账户在界面中不可见,并且其密码不可更改,攻击者可通过该账户对设备进行 root 级别的访问, 以更改防火墙设置来允许、阻止某些流量或创建VPN帐户来访问设备背后的网络 。超过 10000 台的 Zyxel 设备可能会因此遭受攻击。
受影响的设备型号
- ATP series running firmware ZLD V4.60
- USG series running firmware ZLD V4.60
- USG FLEX series running firmware ZLD V4.60
- VPN series running firmware ZLD V4.60
- NXC2500
- NXC5500
之后, Zyxel 在一份通报中感谢 EYE的披露,并表示“该帐户原本是用于通过 FTP 向连接的访问点提供自动固件更新。”
目前,Zyxel 已经发布了“ ZLD V4.60 patch1”,该补丁删除了防火墙设备上的后门帐户,并且将于 2021 年 1 月 8 日为 AP 控制器发布该补丁。
猜你喜欢:暂无回复。
