黑客正在利用Zyxel设备内置的后门。 你打补丁了吗?

2021-01-05 06:14:41

黑客正试图利用最近发现的内置在多种Zyxel设备模型中的后门,成千上万的个人和企业将其用作VPN,防火墙和无线访问点。

总部位于荷兰的安全公司Eye Control的研究人员最近报告说,后门以无证件用户帐户的形式存在,具有完整的管理权限,这些权限已硬编码到设备固件中。可以使用SSH或通过Web界面访问使用用户名zyfwp的帐户。

研究人员警告说,该帐户使用户面临相当大的风险,特别是如果该帐户被用来利用其他漏洞(如Zerologon),Zerologon是Windows的关键缺陷,使攻击者可以立即成为强大的网络管理员。 “由于zyfwp用户具有管理员权限,因此这是一个严重的漏洞,”眼部控制研究员Niels Teusink写道。攻击者可能会完全破坏设备的机密性,完整性和可用性。例如,有人可以更改防火墙设置以允许或阻止某些流量。他们还可以拦截流量或创建VPN帐户来访问设备背后的网络。再加上像Zerologon这样的漏洞,对中小型企业来说可能是灾难性的。”

安全公司GreyNoise的创始人兼首席执行官安德鲁·莫里斯(Andrew Morris)周一表示,他公司的传感器已检测到自动攻击,这些攻击正在使用帐户凭据来尝试登录易受攻击的设备。在大多数或所有登录尝试中,攻击者仅将凭据添加到用于入侵不安全路由器和其他类型设备的默认用户名/密码组合的现有列表中即可。

莫里斯说:“根据定义,我们所看到的一切都必须是机会主义的。”这意味着攻击者正以伪随机方式对IP地址使用凭据,以期找到容易被接管的连接设备。 GreyNoise在全球数百个数据中心中部署了收集传感器,以监视Internet范围内的扫描和利用尝试。

GreyNoise看到的登录尝试是通过SSH连接进行的,但是Eye Control研究人员Teusink表示,也可以使用Web界面访问未记录的帐户。研究人员说,最近的一项扫描显示,超过100,000个Zyxel设备已将Web界面公开给Internet。

Teusink说,后门似乎是在几周前发布的4.39固件版本中引入的。对荷兰的Zyxel设备进行的扫描显示,其中约有10%的设备运行的是该漏洞版本。 Zyxel已发布安全公告,指出受影响的特定设备型号。它们包括:

对于防火墙型号,已提供修复程序。 同时,AP控制器计划在星期五获得修复。 Zyxel表示,它设计了后门,可以通过FTP向连接的访问点提供自动固件更新。 使用这些受影响的设备之一的人应确保在安全修复程序可用后立即安装它。 即使设备运行的版本早于4.6,用户仍应安装此更新,因为它可以修复早期版本中发现的单独漏洞。 除非有充分的理由允许,否则禁用远程管理也是一个好主意。