合勤产品后门

2020-12-26 09:15:35

TL; DR:如果您有Zyxel USG,ATP,VPN,ZyWALL或USG FLEX,则应立即更新到最新的固件版本。您可以在此处找到受影响设备的完整列表,并在此处找到Zyxel通报。

Zyxel是面向中小企业的防火墙的流行品牌。他们的统一安全网关(USG)产品线通常用作防火墙或VPN网关。由于我们中的许多人在家工作,因此具有VPN功能的设备最近销售情况良好。

当我在Zyxel USG40上进行一些研究(扎根)时,我很惊讶地发现一个用户帐户' zyfwp'。在最新的固件版本(4.60补丁0)中带有密码哈希。在系统的二进制文件之一中可见纯文本密码。令我惊讶的是,该帐户似乎可以同时在SSH和Web界面上使用。

该用户在界面中不可见,并且其密码无法更改。我检查了以前的固件版本(4.39),尽管用户存在,但没有密码。似乎该漏洞已在最新固件版本中引入。即使较早的版本没有此漏洞,但它们确实存在其他漏洞(例如此缓冲区溢出),因此您仍然应该进行更新。

由于这些设备上的SSL VPN与Web界面在同一端口上运行,因此许多用户已将这些设备的端口443暴露给了Internet。利用Project Sonar的公开数据,我能够识别出荷兰约3.000个Zyxel USG / ATP / VPN设备。在全球范围内,超过100.000台设备已将其Web界面公开到Internet。

根据我们的经验,这些设备的大多数用户不会经常更新固件。 Zyxel设备不会向未经身份验证的用户公开其固件版本,因此确定设备是否易受攻击要困难一些。我们想了解受影响设备的数量,但是(从道德和法律角度而言)仅尝试尝试输入密码实际上并不是一种选择。幸运的是,可以从这些设备的Web界面请求一些javascript和CSS文件,而无需进行身份验证。这些文件似乎在每个固件版本中都会更改。使用此信息,我们可以获得易受攻击的固件版本的唯一指纹。我们使用此信息来识别荷兰的1.000设备的固件版本,发现大约10%的设备正在运行受影响的固件版本。 Zyxel确实提供自动更新,但默认情况下未启用这些功能。幸运的是,在引入此漏洞后仅几周,我们就可以找到该漏洞,否则受影响的设备数量可能会更多。

由于zyfwp用户具有管理员权限,因此这是一个严重的漏洞。攻击者可能会完全破坏设备的机密性,完整性和可用性。例如,有人可以更改防火墙设置以允许或阻止某些流量。他们还可以拦截流量或创建VPN帐户来访问设备背后的网络。再加上像Zerologon这样的漏洞,这可能对中小企业造成毁灭性的打击。

由于该漏洞的严重性以及易于利用,因此我们决定暂时不释放该帐户的密码。 我们确实希望其他人能够找到并发布它,这就是为什么我们建议您尽快安装更新的固件的原因。 我迅速向Zyxel发送了一封邮件,以报告未记录的用户帐户。 据Zyxel称,该帐户旨在通过FTP为访问点提供自动固件更新。 他们在不到两周后发布了固定的固件版本。 您可以在此处找到USG40的发行说明。 我们要感谢合勤安全团队的快速响应和补丁。 2020-12-08:合勤科技发布Beta固件4.60-WK48,并从其站点中删除易受攻击的固件版本

2020-12-23 21:21
2020-12-11 10:32