Zyxel 是面向中小型企业的热门防火墙品牌。其统一安全网关 (USG) 产品系列通常用作防火墙或 VPN 网关。由于我们很多人都在家工作,所以支持VPN的设备一直很畅销。
近日,荷兰Eye Control 研究员在研究zyxelUSG 40时,惊讶的发现,在其最新固件版本(4.60)中存在一个用户“zyfwp”,且明文密码在系统上的一个二进制文件中可见。更令人惊讶的是,这个帐户似乎同时适用于SSH和Web界面。
$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>
由于此用户在界面中不可见,因此无法更改其密码。虽然研究员也检查了以前的固件版本 (4.39),但在前版本中尽管存在此用户却没有密码。由此推测该漏洞或早已引入最新的固件版本。
该漏洞编号为CVE-2020-29583。由于这些设备上的 SSL VPN 与 Web 界面在同一端口上运行,因此许多用户已将这些设备中的端口 443 公开到互联网。利用SONAR项目的公开数据,安全研究员成功识别出大约3000个ZyxelUSG/ATP/VPN设备。在全球范围内,超过十万台Zyxel 防火墙、VPN 网关和接入点控制器受到影响。
根据研究员的经验,这些设备的大多数用户不会经常更新固件。Zyxel 设备也不会将其固件版本公开给未经身份验证的用户,因此确定设备是否易受攻击就变得异常困难。
尽管想要了解受影响的设备数量,但简单地尝试密码并不可行,尤其是这也会受到道德和法律的谴责。
幸运的是,一些javascript和css文件可以避开身份验证,直接从这些设备的Web界面获得请求。这些文件也会随着每个固件版本的变化而变化。使用此信息,研究员可以获得易受攻击固件版本的某些信息。
从而使用此信息来标识荷兰 1000 台设备的固件版本,发现了大约有 10% 正在运行的设备受到了影响。Zyxel 确实提供自动更新,但默认情况下从未启用这些更新。
此外,由于 zyfwp 用户具有管理员权限,所以这个漏洞存在的威胁不容小觑。攻击者可能会完全破坏设备的机密性、完整性和可用性。
例如,有人可以更改防火墙设置以允许或阻止某些流量。他们还可以拦截流量或创建 VPN 帐户以访问设备后面的网络,再加上存在 Zerologon 这样的漏洞,因此这将会对中小型企业造成毁灭性打击。
据悉,Zyxel 大部分主打产品均存在这个漏洞,受影响的产品型号包括:
Advanced Threat Protection ( ATP ) 系列:主要用于防火墙
Unified Security Gateway ( USG ) 系列:主要用于混合防火墙或者 VPN 网关
USG FLEX 系列:主要用于混合防火墙或者 VPN 网关
VPN 系列:主要用于 VPN 网关
NXC 系列:主要用于 WLAN 接入点控制
据 Zyxel 所言,该帐户旨在通过 FTP 为接入点提供自动固件更新,在两周内公司已发布了一个更新的的固件版本。
以下是描述此漏洞发行说明中的部分条目:
[BUG FIX][CVE-2020-29583]
a. Vulnerability fix for undocumented user account.
据调查,目前只有 ATP、USG、USG Flex 和 VPN 系列的补丁。根据 Zyxel 的安全咨询,NXC 系列的补丁预计将在 2021 年 4 月推出。
在安装补丁之后,Eye Control 表示可以删除后门帐号 -- 用户名为 "zyfwp",密码为 "PrOw!aN_fXp"。 建议设备拥有者在时间允许的情况下尽快更新系统。
附:发现漏洞相关时间线
2020-11-29:EYE 报告 Zyxel 安全性的漏洞
2020-11-30:Zyxel 确认收到
2020-12-02:Zyxel 请求了解有关如何发现漏洞的信息
2020-12-03:EYE 发送更多详细信息
2020-12-08:Zyxel 发布测试版固件 4.60-WK48,并删除其站点上的易受攻击的固件版本
2020-12-15:Zyxel 发布固件 4.60 修补程序 1 适用于大多数设备
2020-12-18:Zyxel 发布固件 4.60 修补程序 1,适用于所有剩余设备
2020-12-23:Zyxel 发布咨询
-end
