Zyxel产品中后门（CVE-2020-29583）

            Zyxel（合勤科技）是国际知名的网络宽带系统及解决方案的供应商。目前，全球有超过100000台Zyxel防火墙、VPN网关和访问点控制器。

        Zyxel 防火墙和 AP 控制器中包含一个 “zyfwp” 帐户，密码 “PrOw!aN_fXp”，可以用 admin 权限登录受影响的设备，该帐户可通过FTP自动更新固件。由于该账户的密码不可更改，并且可以在固件中以明文形式，攻击者可以利用该帐户以管理员权限登录。

Username: zyfwpPassword: PrOw!aN_fXp

        TL;DR：如果你有一个Zyxel USG，ATP，VPN，ZyWALL或USG FLEX，你应该更新到最新的固件版本今天。您可以在这里找到受影响设备的完整列表，并在这里找到Zyxel咨询。

            Zyxel是一个广受欢迎的防火墙品牌，主要面向中小型企业。他们的统一安全网关（USG）产品线经常被用作防火墙或VPN网关。由于我们很多人都是在家办公，所以最近支持VPN的设备销量相当不错。

            在对我的Zyxel USG40进行研究(root)时，我惊讶地发现在最新的固件版本(4.60补丁0)中，有一个带有密码哈希的用户账号 "zyfwp"。在系统上的一个二进制文件中可以看到这个明文密码。更让我惊讶的是，这个账号似乎在SSH和Web界面上都能使用。

$ ssh [email protected]

密码：Pr*******Xp

路由器> 显示当前用户

编号：1

名称: zyfwp

类型：管理

路由器>

            用户在界面上看不到，其密码也无法修改。我检查了以前的固件版本（4.39），虽然用户存在，但没有密码。看来这个漏洞是在最新的固件版本中引入的。即使旧版本没有这个漏洞，但它们也有其他漏洞（比如这个缓冲区溢出），所以你还是应该更新。

            由于这些设备上的SSL VPN与Web界面在同一个端口上运行，很多用户将这些设备的443端口暴露在互联网上。利用Project Sonar的公开数据，我能够识别出荷兰大约3.000台Zyxel USG/ATP/VPN设备。在全球范围内，有超过100.000台设备将其Web界面暴露在互联网上。

            根据我们的经验，这些设备的大多数用户不会经常更新固件。Zyxel设备不会将其固件版本暴露给未经认证的用户，因此确定设备是否存在漏洞是比较困难的。我们想了解受影响设备的数量，但简单地尝试密码并不是一个真正的选择（在道德和法律上）。幸运的是，一些javascript和css文件可以从这些设备的Web界面上请求，而无需验证。这些文件似乎会随着每个固件版本的发布而改变。利用这些信息，我们可以获得脆弱的固件版本的独特指纹。我们使用这些信息来识别荷兰1.000台设备的固件版本，发现大约10%的设备正在运行受影响的固件版本。Zyxel确实提供了自动更新功能，但默认情况下没有启用。幸运的是，我们能够在这个漏洞被引入几周后才发现，否则受影响的设备数量可能会更多。

            由于zyfwp用户具有管理权限，这是一个严重的漏洞。攻击者可以完全破坏设备的保密性、完整性和可用性。例如，有人可以改变防火墙设置，允许或阻止某些流量。他们还可以拦截流量或创建VPN账户来获得设备背后的网络访问权限。结合Zerologon这样的漏洞，这对中小型企业来说可能是毁灭性的。

            由于该漏洞的严重性以及它很容易被利用，我们决定目前不公布该账户的密码。我们确实希望其他人能够发现并发布，这就是为什么我们建议你尽快安装更新的固件。

参考文献：

https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

本文始发于微信公众号（Khan安全攻防实验室）：Zyxel产品中后门（CVE-2020-29583）