欢迎光临KOTOO财情




发现“硬式编码漏洞”,Zyxel 用户面临严重资安威胁

2024-11-29 221


知名网络设备商合勤科技 Zyxel 近日被资安人员发现一个非常糟糕的漏洞,超过 10 万台网络设备产品出现被写死在固件的“硬式编码漏洞”。

据 Eye Control Netherlands 资安研究人员通报,名为 CVE-2020-29583 的漏洞显示,能让骇客透过 SSH 界面或网页管理员控制面板直接 root 等级存取设备,情况相当严重。Zyxel 官方也紧急推出固件更新,希望用户尽快更新。虽然目前媒体预估全球将有十万台设备有问题,但台湾目前仅有 122 台,且官方已通知客户。

受影响的产品包括 ATP 系列、USG 系列、USG FLEX 系列和 VPN 系列,还有 NXC2500 和 NXC5500 AP 控制器等,基本涵盖大部分主流设备,能在版本号为 4.60 的固件轻易发现一个明码的管理员账号。防火墙、VPN 和接入点控制器都将受到威胁。官方表示,这主要用途是对设备更新 AP 固件的。

业者已紧急于官网发布更新,目前需更新的机种型号及进度如下图。

▲ 相关更新已可在官方网站下载。(Source:Zyxel)

不过还有部分设备如 NXC 系列更新可能要等到 4 月才有办法推送。固件更新后将能顺利删掉账号 zyfwp,值得一提的是,此次反而是一些老旧设备或更早期固件版本没有问题,还不需急着更新,还有运行 SD-OS 的 VPN 系列产品也不受影响。

专家表示,若不尽早修复,可能对企业造成毁灭性打击,尤其 Zyxel 是中小企业普遍使用的网通设备,应付大规模资安攻击相当吃力,且通常连定期更新固件都很少。此漏洞能使骇客有完整存取企业网络、窃取资讯甚至破坏设备的能力,不可不慎。

官方补充: NXC 系列的修补程式已确定将在 1 月 8 日发送,若旧设备不更新,请先关闭设备的 FTP 功能,或是以指定 IP 的方式使用,详情请参考此网站。

  • Zyxel security advisory for hardcoded credential vulnerability 
  • An Exposed Username and Password Leaves Over 100,000 Zyxel Firewalls and VPN Gateways Open to Severe Attacks 
  • Backdoor account discovered in more than 100,000 Zyxel firewalls, VPN gateways 

(首图来源:Flickr/Norlando Pobre CC BY 2.0)

延伸阅读:

  • 强化网络身份验证!日媒:凸版收购台湾软件商盖特
  • 惟恐天下不乱!骇客劫持家用安全装置大搞“诬报警”害人戏码
  • 倍受网络监控的一年!疫情让科技大咖赚饱饱,却牺牲你我的资安与隐私?
  • 网传 Epic Games 启动器莫名占用 CPU,官方承认出包正修复
2021-01-05 20:06:00

标签:   资讯头条 kotoo科技资讯 kotoo科技 kotoo科技资讯头条 科技资讯头条 KOTOO商业产经 新闻网 科技新闻网 科技新闻 Kotoo科技新闻网 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条 Kotoo Kotoo科技新闻网 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条
0