備註請放最後面 違者新聞文章刪除
1.媒體來源:
ithome
2.記者署名:
ithome
3.完整新聞標題:
部份合勤網路與資安設備含有硬式編碼漏洞,快更新韌體
4.完整新聞內文:
荷蘭資安業者Eye Control在去年11月,發現臺灣網通設備製造商合勤(Zyxel)剛釋出的ZLD V4.60韌體含有一後門帳號,且同時影響多款防火牆及AP控制器產品,可能波及逾10萬臺合勤裝置,呼籲合勤用戶應儘速更新韌體。
Eye Control的安全研究人員Niels Teusink說明,他是在研究自己的合勤防火牆裝置 Zyxel USG40時,於它的4.60韌體中發現了一個名為zyfwp的使用者帳號,以及一個無法修改(寫死)的明文密碼,還發現此一帳號同時適用於SSH與網頁介面。
舊版的韌體只含有緩衝區溢位漏洞,並未見到此一帳號,因此相信它是在4.60才出現的。
此一含有漏洞的韌體同時支援ATP、USG、USG FLEX與VPN系列的防火牆,以及NXC2500及NXC5500兩款AP控制器。
Teusink利用Project Sonar進行全球掃描之後,發現有超過10萬臺上述型號的合勤裝置曝露在公開網路上,不過,一來合勤裝置並不會揭露韌體版本予未經授權的使用者,二來雖然合勤提供了自動更新機制,但預設值是關閉的,他相信這些網通設備的使用者不會太常更新韌體,因而無法確實統計受害規模。
對此,我們也洽詢合勤集團負責產品通路的兆勤科技,他們表示,關於全球超過10萬臺影響,此為該名研究員預估,而根據他們的清查,目前臺灣受影響的設備共有122臺。
危險的是,韌體內建的zyfwp用戶具備管理員權限,代表取得該權限的駭客將能完全取得裝置的控制權,包括變更防火牆設定以允許或封鎖特定流量,也能竊聽流量或建立VPN帳號。
而根據合勤的說法,zyfwp是專門用來透過FTP傳遞韌體自動更新的帳號。我們向兆勤科技徵詢此事時,他們則是強調,該帳號不是所謂的後門帳號,也並非超級帳號,屬於硬式編碼(Hard Code)漏洞,此帳號是寫死在韌體中,只能讀取,主要的用途為更新AP韌體。
在獲得Eye Control的通報之後,合勤已於去年12月中陸續修補此一編號為CVE-2020-29583的安全漏洞。
目前合勤已修補4個系列的防火牆產品,至於兩個AP控制器的修補程式預計要到4月才會問世(編按:根據目前合勤公布的資訊,將於1月8日提供)。
5.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/142021
6.備註:
※ 一個人三天只能張貼一則新聞,被刪或自刪也算額度內,超貼者水桶,請注意
※ 備註請勿張貼三日內新聞(包含連結、標題等)