超级管理员帐号外泄,Zyxel 用户面临严重资安威胁
https://bit.ly/38bjoVi
知名网络设备商合勤科技 Zyxel 近日被资安人员发现了一个非常糟糕的漏洞,有超过
10 多万台网络设备产品,被内建一个超级管理员帐号,而且是被写死的。
根据 Eye Control Netherlands 资安研究人员通报,这个被命名为 CVE-2020-29583 的
漏洞显示,能让骇客透过 SSH 接口或者网页管理员控制面板直接对相关设备进行 root
级别访问,情事相当严重。Zyxel 官方也紧急推出韧体更新,希望用户能尽快行动。
受到影响的产品包括,ATP 系列、USG 系列、USG FLEX 系列和 VPN 系列,还有 NXC2500
和NXC5500 AP 控制器等,这基本上已涵盖大部份的主流设备,能在版本号为 4.60 的韧
体中轻易发现明码的超级管理员帐号。防火墙、VPN 和接入点控制器都将受到威胁。骇客
可以尽情地利用这个帐号轻而易举的启动大规模资安攻击。
业者已紧急为此在官网上发出更新,目前需更新的机种型号及进度如下图。
https://img.technews.tw/wp-content/uploads/2021/01/04113714/Zyxel.png
不过还有部分设备如 NXC 系列更新可能要等到 4 月份才有办法发送。而在韧体更新后将
能顺利删除掉超级管员帐号 zyfwp,值得一提的是,此次反而是一些老旧设备或更早期的
韧体版本没有问题,还不需要急着更新,还有运行 SD-OS 的 VPN 系列产品也不受影响。
专家表示,若不尽早修复将可能对企业造成毁灭性的打击,尤其 Zyxel 是中小企业流行
使用的网通设备,应付大规模资安攻击是相当吃力,通常连定期更新韧体的都很少。此漏
洞将能令骇客完整的访问企业网络,窃取资讯甚至破坏设备,不可不慎。