Zyxel(合勤)发布了一个补丁,修复其固件中的一个严重漏洞,该漏洞涉及一个硬编码的,未记录的秘密账户,攻击者可滥用该账户以管理权限登录,入侵其网络设备。
该漏洞编号为CVE-2020-29583(CVSS 评分7.8),影响众多Zyxel设备使用的固件4.60版本,包括Unified Security Gateway(USG),USG FLEX,ATP和VPN防火墙产品。
荷兰EYE Control公司的研究人员Niels Teusink于11月29日向Zyxel报告了该漏洞,后者于12月18日发布了固件补丁ZLD V4.60 Patch1。
根据Zyxel发布的安全公告,该未记录的账户(zyfwp)配有一个无法修改的密码(PrOw!aN_fXp),该凭据不仅以明文形式存储,还可被恶意第三方滥用,以管理权限登录SSH服务器或web接口。
Zyxel称,该硬编码凭据用于通过FTP将自动固件更新分发到连接的访问接入点。
Teusink指出,在荷兰,1000个Zyxel设备中有大约10%的设备运行该受影响的固件版本,且该漏洞的利用难度相对较低,因而该漏洞是个严重漏洞。
Teusink表示,由于‘’zyfwp’用户具有管理权限,所以这是一个严重的漏洞。攻击者可以对设备的机密性、完整性和可用性造成全面的影响。比如,攻击者可以修改防火墙设备,以允许或屏蔽特定流量。攻击者还可以劫持流量或创建VPN账户,以获取对部署在该设备之后的网络的访问权限。如果攻击者结合利用像Zerologon这样的漏洞,会对中小型企业造成巨大灾难。
对于其AP controller中的漏洞,Zyxel则计划在2021年4月发布补丁,进行修复。
用户应立即安装必要的固件更新,缓解该漏洞带来的风险。
作者:Ravie Lakshmanan
来源:The Hacker News
来源:freebuf.com 2021-01-04 15:46:47 by: 偶然路过的围观群众
请登录后发表评论
注册