發現「硬式編碼漏洞」,Zyxel 用戶面臨嚴重資安威脅

作者 | 發布日期 2021 年 01 月 04 日 11:52 | 分類 網路 , 網通設備 , 資訊安全 Telegram share ! follow us in feedly


知名網路設備商合勤科技 Zyxel 近日被資安人員發現一個非常糟糕的漏洞,超過 10 萬台網路設備產品出現被寫死在韌體的「硬式編碼漏洞」。

據 Eye Control Netherlands 資安研究人員通報,名為 CVE-2020-29583 的漏洞顯示,能讓駭客透過 SSH 介面或網頁管理員控制面板直接 root 等級存取設備,情況相當嚴重。Zyxel 官方也緊急推出韌體更新,希望用戶盡快更新。雖然目前媒體預估全球將有十萬台設備有問題,但台灣目前僅有 122 台,且官方已通知客戶。

受影響的產品包括 ATP 系列、USG 系列、USG FLEX 系列和 VPN 系列,還有 NXC2500 和 NXC5500 AP 控制器等,基本涵蓋大部分主流設備,能在版本號為 4.60 的韌體輕易發現一個明碼的管理員帳號。防火牆、VPN 和接入點控制器都將受到威脅。官方表示,這主要用途是對設備更新 AP 韌體的。

業者已緊急於官網發布更新,目前需更新的機種型號及進度如下圖。

▲ 相關更新已可在官方網站下載。(Source:Zyxel

不過還有部分設備如 NXC 系列更新可能要等到 4 月才有辦法推送。韌體更新後將能順利刪掉帳號 zyfwp,值得一提的是,此次反而是一些老舊設備或更早期韌體版本沒有問題,還不需急著更新,還有運行 SD-OS 的 VPN 系列產品也不受影響。

專家表示,若不盡早修復,可能對企業造成毀滅性打擊,尤其 Zyxel 是中小企業普遍使用的網通設備,應付大規模資安攻擊相當吃力,且通常連定期更新韌體都很少。此漏洞能使駭客有完整存取企業網路、竊取資訊甚至破壞設備的能力,不可不慎。

官方補充: NXC 系列的修補程式已確定將在 1 月 8 日發送,若舊設備不更新,請先關閉設備的 FTP 功能,或是以指定 IP 的方式使用,詳情請參考此網站

(首圖來源:Flickr/Norlando Pobre CC BY 2.0)

延伸閱讀: