备注请放最后面 违者新闻文章删除
1.媒体来源:
ithome
2.记者署名:
ithome
3.完整新闻标题:
部份合勤网络与资安设备含有硬式编码漏洞,快更新韧体
4.完整新闻内文:
荷兰资安业者Eye Control在去年11月,发现台湾网通设备制造商合勤(Zyxel)刚释出的ZLD V4.60韧体含有一后门帐号,且同时影响多款防火墙及AP控制器产品,可能波及逾10万台合勤装置,呼吁合勤用户应尽速更新韧体。
Eye Control的安全研究人员Niels Teusink说明,他是在研究自己的合勤防火墙装置 Zyxel USG40时,于它的4.60韧体中发现了一个名为zyfwp的使用者帐号,以及一个无法修改(写死)的明文密码,还发现此一帐号同时适用于SSH与网页接口。
旧版的韧体只含有缓冲区溢位漏洞,并未见到此一帐号,因此相信它是在4.60才出现的。
此一含有漏洞的韧体同时支援ATP、USG、USG FLEX与VPN系列的防火墙,以及NXC2500及NXC5500两款AP控制器。
Teusink利用Project Sonar进行全球扫描之后,发现有超过10万台上述型号的合勤装置曝露在公开网络上,不过,一来合勤装置并不会揭露韧体版本予未经授权的使用者,二来虽然合勤提供了自动更新机制,但默认值是关闭的,他相信这些网通设备的使用者不会太常更新韧体,因而无法确实统计受害规模。
对此,我们也洽询合勤集团负责产品通路的兆勤科技,他们表示,关于全球超过10万台影响,此为该名研究员预估,而根据他们的清查,目前台湾受影响的设备共有122台。
危险的是,韧体内建的zyfwp用户具备管理员权限,代表取得该权限的骇客将能完全取得装置的控制权,包括变更防火墙设定以允许或封锁特定流量,也能窃听流量或建立VPN帐号。
而根据合勤的说法,zyfwp是专门用来透过FTP传递韧体自动更新的帐号。我们向兆勤科技征询此事时,他们则是强调,该帐号不是所谓的后门帐号,也并非超级帐号,属于硬式编码(Hard Code)漏洞,此帐号是写死在韧体中,只能读取,主要的用途为更新AP韧体。
在获得Eye Control的通报之后,合勤已于去年12月中陆续修补此一编号为CVE-2020-29583的安全漏洞。
目前合勤已修补4个系列的防火墙产品,至于两个AP控制器的修补程式预计要到4月才会问世(编按:根据目前合勤公布的资讯,将于1月8日提供)。
5.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/142021
6.备注:
※ 一个人三天只能张贴一则新闻,被删或自删也算额度内,超贴者水桶,请注意
※ 备注请勿张贴三日内新闻(包含连结、标题等)