在超过100,000个Zyxel防火墙,VPN网关中发现后门帐户

2021-01-02 20:53:08

超过100,000个Zyxel防火墙,VPN网关和访问点控制器包含一个硬编码的管理员级后门帐户,该帐户可以使攻击者通过SSH界面或Web管理面板对设备进行根访问。

由荷兰安全研究人员小组从Eye Control发现的后门帐户就漏洞而言被认为是很糟糕的。

安全专家警告说,从DDoS僵尸网络运营商到国家资助的黑客组织和勒索软件帮派,任何人都可能滥用此后门帐户来访问易受攻击的设备,并转至内部网络以进行其他攻击。

受影响的模型包括其商业级设备系列中许多合勤的顶级产品,这些产品通常部署在私有企业和政府网络中。

统一安全网关(USG)系列-用作混合防火墙和VPN网关

这些设备中的许多设备都是在公司网络的边缘使用的,一旦遭到破坏,攻击者就可以利用它来对内部主机进行攻击并发起进一步的攻击。

修补程序当前仅适用于ATP,USG,USG Flex和VPN系列。根据Zyxel安全公告,预计NXC系列的补丁将于2021年4月发布。

安装补丁程序将删除后门帐户,据Eye Control研究人员称,该后门帐户使用了" zyfwp"用户名和" PrOw!aN_fXp"密码。

"在系统的二进制文件之一中可见纯文本密码,"荷兰研究人员在2020年圣诞节假期之前发表的一份报告中表示。

研究人员说,该帐户具有对该设备的根访问权限,因为该帐户已用于通过FTP向其他互连的Zyxel设备安装固件更新。

物联网安全研究员Ankit Anubhav在本周接受ZDNet采访时表示,合勤应该从2016年发生的上一次事件中汲取教训。

被跟踪为CVE-2016-10401,当时发布的Zyxel设备包含一个秘密的后门机制,该机制允许任何人使用"将Zyxel设备上的任何帐户提升到根级别。 zyad5001" SU(超级用户)密码。

"令人惊讶的是,由于Zyxel非常清楚这是最后一次发生,它被多个僵尸网络滥用,因此又看到了另一个硬编码的凭证,"阿努巴夫告诉ZDNet。

" CVE-2016-10401仍然是大多数基于密码攻击的IoT僵尸网络的武器库,"研究人员说。

但是这次,CVE-2020-29583(2020后门帐户的CVE标识符)的情况更糟。

Anubhav告诉ZDNet,虽然2016年的后门机制要求攻击者首先有权访问Zyxel设备上的低特权帐户-这样他们才能将其提升为root-但2020年的后门情况更糟,因为它可以使攻击者直接访问设备没有任何特殊条件。

"与以前的仅用于Telnet的漏洞不同,这需要更少的专业知识,因为可以直接在端口443托管的面板上尝试凭据。阿努巴夫说。

此外,与2016年的后门问题相比,Anubhav还指出,大多数受影响的系统也非常多样化,后者仅影响家用路由器。

攻击者现在可以访问更广泛的受害者,其中大多数是公司目标,因为易受攻击的设备主要是出售给公司的,目的是控制谁可以从远程位置访问Intranet和内部网络。

从更大的角度来看,这是一个大问题,因为防火墙和VPN网关的漏洞已成为2019年和2020年勒索软件攻击和网络间谍活动的主要来源之一。

Pulse Secure,Fortinet,Citrix,MobileIron和Cisco设备中的安全漏洞经常被利用来攻击公司和政府网络。

新的合勤(Zyxel)后门程序可能会使全新的公司和政府机构遭受我们过去两年中看到的相同类型的攻击。