※ 引述《whe84311 (Rainsa)》之銘言:
: ithome
: ithome
: 部份合勤網路與資安設備含有硬式編碼漏洞,快更新韌體
: 危險的是,韌體內建的zyfwp用戶具備管理員權限,代表取得該權限的駭客將能完全取得裝置的控制權,包括變更防火牆設定以允許或封鎖特定流量,也能竊聽流量或建立VPN帳號。
: 而根據合勤的說法,zyfwp是專門用來透過FTP傳遞韌體自動更新的帳號。我們向兆勤科技徵詢此事時,他們則是強調,該帳號不是所謂的後門帳號,也並非超級帳號,屬於硬式編碼(Hard Code)漏洞,此帳號是寫死在韌體中,只能讀取,主要的用途為更新AP韌體。
: 在獲得Eye Control的通報之後,合勤已於去年12月中陸續修補此一編號為CVE-2020-29583的安全漏洞。
: 目前合勤已修補4個系列的防火牆產品,至於兩個AP控制器的修補程式預計要到4月才會問世(編按:根據目前合勤公布的資訊,將於1月8日提供)。
: https://www.ithome.com.tw/news/142021
合勤這家公司的產品,爛到跟 ASUS 有得拚.
一線客服的水準,業內也是有口皆杯,靠杯的杯...
去年爆出了登入的帳號密碼欄位竟然可以輸入可被執行的指令,
今年爆出有後門帳號...
說啥去年底可以更新新版韌體,結果更新完機器每週不定時自動 hang 掉然後重開.
問客服為什麼機器會自動重開機,就叫你 clean setup 試試,別的都不講,
去官網看,去年底那個號稱修正 bug 的韌體已經從官網被消失,
默默的出現了更新版,意思就是,你要是有看到,就自己看著辦吧...
想 死 你 就 去 買 合 勤 吧