在超过10万个Zyxel防火墙、VPN网关中发现后门帐户

长唐国兰

2021-01-05 09:57
关注

Eye Controld1研究人员最近发现了一个秘密后门,该后门是在最近针对各种Zyxel防火墙和AP控制器的固件更新中引入的。硬编码凭据漏洞由未记录的用户账户和明文密码组成。

根据Eye的说法,该帐户授予管理员权限,并且可以在SSH和Web界面上使用。攻击者可以使用凭据更改防火墙设置,以阻止或允许某些流量。还可以创建VPN帐户来访问设备后面的网络。当与Zerologon等其他漏洞结合使用时,“这可能对中小企业造成毁灭性的打击。

安全专家警告说,从DDoS僵尸网络运营商到国家资助的黑客组织和勒索软件帮派,任何人都可能滥用此后门帐户来访问易受攻击的设备,并转至内部网络以进行其他攻击。

该后门账号存在于许多企业级设备

Zyxel公司许多企业级设备中的高端产品均发现了后门账号的存在,而这些产品通常被用于企业和政府内部网络。

受影响的产品涉及Zyxel的多个系列,大多数用作防火墙和VPN网关,这意味着许多设备被用于公司或政府网络的边缘,一旦受到攻击,攻击者就可以利用这些设备对内部主机发起进一步的攻击。

后门帐户很容易发现

根据Eye Control研究人员的说法,安装补丁程序将删除后门帐户,该帐户使用“zyfwp”用户名和“PrOw!aN_fXp”密码。

荷兰研究人员在2020年圣诞节假期之前发表的一份报告中说:“明文密码在系统的一个二进制文件中可见 。” 研究人员说,该帐户具有对该设备的root访问权限,因为该账户已被用于通过FTP向其他互连的Zyxel设备安装固件更新。

一波新的勒索软件和间谍软件?

从更大的角度来看,这是一个大问题,因为防火墙和VPN网关的漏洞已成为2019年和2020年勒索软件攻击和网络间谍活动的主要来源之一。

Pulse Secure,Fortinet,Citrix,MobileIron和Cisco设备中的安全漏洞经常被利用来攻击公司和政府网络。

Zyxel的后门账号可能会使得这些公司和政府机构遭受勒索软件攻击和网络间谍活动。

举报/反馈