超級管理員帳號外洩,Zyxel 用戶面臨嚴重資安威脅
https://bit.ly/38bjoVi
知名網路設備商合勤科技 Zyxel 近日被資安人員發現了一個非常糟糕的漏洞,有超過
10 多萬台網路設備產品,被內建一個超級管理員帳號,而且是被寫死的。
根據 Eye Control Netherlands 資安研究人員通報,這個被命名為 CVE-2020-29583 的
漏洞顯示,能讓駭客透過 SSH 介面或者網頁管理員控制面板直接對相關設備進行 root
級別訪問,情事相當嚴重。Zyxel 官方也緊急推出韌體更新,希望用戶能盡快行動。
受到影響的產品包括,ATP 系列、USG 系列、USG FLEX 系列和 VPN 系列,還有 NXC2500
和NXC5500 AP 控制器等,這基本上已涵蓋大部份的主流設備,能在版本號為 4.60 的韌
體中輕易發現明碼的超級管理員帳號。防火牆、VPN 和接入點控制器都將受到威脅。駭客
可以盡情地利用這個帳號輕而易舉的啟動大規模資安攻擊。
業者已緊急為此在官網上發出更新,目前需更新的機種型號及進度如下圖。
https://img.technews.tw/wp-content/uploads/2021/01/04113714/Zyxel.png
不過還有部分設備如 NXC 系列更新可能要等到 4 月份才有辦法發送。而在韌體更新後將
能順利刪除掉超級管員帳號 zyfwp,值得一提的是,此次反而是一些老舊設備或更早期的
韌體版本沒有問題,還不需要急著更新,還有運行 SD-OS 的 VPN 系列產品也不受影響。
專家表示,若不盡早修復將可能對企業造成毀滅性的打擊,尤其 Zyxel 是中小企業流行
使用的網通設備,應付大規模資安攻擊是相當吃力,通常連定期更新韌體的都很少。此漏
洞將能令駭客完整的訪問企業網路,竊取資訊甚至破壞設備,不可不慎。