多个Zyxel防火墙、VPN产品中发现秘密后门账户

Zyxel发布了一个补丁，以解决其固件中的一个关键漏洞，涉及一个未记录的硬编码秘密账户，可被攻击者滥用管理权限登录并控制其网络设备。

此漏洞被追踪为CVE-2020-29583 (CVSS评分7.8)，影响到Zyxel广泛设备的4.60版本，包括Unified Security Gateway (USG)、USG FLEX、ATP和VPN防火墙产品。

EYE研究员Niels Teusink于11月29日向Zyxel报告了该漏洞，随后该公司于12月18日发布了固件补丁（ZLD V4.60 Patch1）。

根据Zyxel发布的咨询意见，该未记录的账户（"zyfwp"）带有一个不可更改的密码（"PrOw！aN_fXp"），该密码不仅以明文形式存储，还可能被恶意第三方利用，以管理员权限登录SSH服务器或Web界面。

Zyxel表示，这些硬编码凭证是为了通过FTP向连接的接入点提供自动固件更新而设置的。

Teusink指出，荷兰1000台设备中约有10%运行受影响的固件版本，他表示，该缺陷相对容易被利用，因此是一个关键的漏洞。

"由于'zyfwp'用户具有管理权限，这是一个严重的漏洞，"Teusink在一篇文章中说。"攻击者可以完全破坏设备的机密性、完整性和可用性。"

"例如，有人可以改变防火墙设置，允许或阻止某些流量。他们还可以拦截流量或创建VPN账户以获得设备背后的网络访问权。再加上Zerologon这样的漏洞，这对中小型企业来说可能是毁灭性的。"

该台湾公司还将通过定于2021年4月发布的V6.10 Patch1解决其接入点（AP）控制器中的问题。

强烈建议用户安装必要的固件更新，以减轻该缺陷带来的风险。

本文始发于微信公众号（Khan安全团队）：多个Zyxel防火墙、VPN产品中发现秘密后门账户