Kaspersky Lab
2021-01-11
ZyXel部份裝置發現hard-coded管理員帳號成安全漏洞
日前部份 ZyXel 網絡裝置被研究人員發現內含 hard-coded 的管理員等級帳號和密碼,由於無法透過設定去進行修改,令裝置面臨嚴重的安全漏洞,急需補丁堵塞漏洞。
Firmware含密碼急需update
在去年底,荷蘭一間公司的研究人員報告了一個 ZyXel 裝置的安全漏洞,在數款硬體網絡防火牆和無線控制器內,含有名為「ZYfwp」的管理員等級隱藏帳號,連同密碼 hard-coded 在 firmware 之內,令 firmware 內含有未經過過密的密碼,研究人員強烈建議用戶盡快更新韌體。
外來人士可取得裝置管理員權限
這個名為 ZYfwp 的帳號具備管理員等級的存取權限,可以透過 Web 介面或 SSH 連線,該帳號不能被關閉,密碼也不能改變,這意味著用戶並不能透過更改設定來消除這個漏洞。根據研究人員表示,部份裝置除了使用 port 443 作 web 介面存取以外,還會用作 SSL VPN,而且在某些網絡 port 443 會公開對外互聯網,在現時大量遙距存取公司資源的時刻,很多員工可能需要在家存取公司的資源。
VPN gateway 讓用戶開啟帳號存取公司內部資源,漏洞可能讓攻擊者重新設定裝置,封鎖或攔截流量。研究人員也因為道德和保安理由拒絕公開密碼,但他解釋了在哪裡可以找到,而事實上已有少數網絡安全資源公開了相關密碼,意味著即使非黑客高手也能利用這個漏洞,令情況更加危險。
受影響裝置
受這個安全漏洞影響的包括 ATP、USG、USG FLEX 和 VPN系列的小企業防火牆裝置的 firmware 版本 ZLD v4.60,受影響的型號需要即時更新韌體,用戶可以在 ZyXel 網站找到相關資料。此外還包括 NXC2500 和 NXC5500 無線網絡控制器的 firmware 版本 v6.00 和 v6.10,廠方答應在稍後時間推出補丁。
這個安全漏洞並不影響較舊的韌體版本,但並不代表用戶可以完全放心,因為新韌體通常都能提高用戶的安全。
應對方法
首先,受影響用戶應該立即從官方途徑更新漏洞裝置的韌體,如果沒有現時未有補丁,也要密切留意有關的更新的訊息。此外,我們更議在員工的電腦上安裝可靠的防護方案,在受到攻擊前做好準備,以免公司網絡遭到入侵。