近萬台合勤網路裝置爆出寫死在韌體中的認證漏洞 已有自動程式嘗試入侵

一項存在近萬台合勤網路裝置，包括 VPN、防火牆及無線 AP 中的後門，已經有不明人士試圖開採。

荷蘭安全公司 Eye Control 安全研究人員 Niels Teusink 指出，這個後門是在合勤網路中一個「寫死」在裝置韌體中的完整管理權限用戶帳號中。這個帳號使用 zyfwp 的帳號名，可經由 SSH 或 Web 介面從外部存取。

他指出，zyfwp 帳號具有管理員權限，使其成為一重大漏洞。攻擊者可完全破壞網路裝置的機密性、完整性及可用性，例如某位有心人士就可以變更防火牆設定或封鎖某些流量，也可以攔截流量或建立 VPN 帳號以存取裝置後方的網路。若結合像是 Zerologon 之類的漏洞，就會對中小企業引發災難。

安全公司 GreyNoise 執行長兼創辦人 Andrew Morris 指出，該公司偵測到已有利用有不明自動化攻擊利用該帳號的登入憑證試圖登入合勤裝置。該公司在全球數百個資料中心部署的感測器以監控網際網路上的掃瞄及開採行為。

大多數情況下，攻擊者僅僅是將在現有預設的帳號／密碼組合中加入該組憑證，以便駭入 VPN、無線路由器或防火牆裝置。他解釋，駭客基本上是在碰運氣，看看是否能瞎貓碰上死耗子，找到剛好可以存取的 IP。

GreyNoise 偵測到的攻擊是經由 SSH 連線登入，不過 Eye Control 的 Teusink 則指出也可以用 Web 介面登入。他說最近一次掃瞄顯示，有超過 10 萬台合勤裝置的 Web 介面曝露於網際網路。

研究人員指出，這項後門影響幾個星期前才釋出的 4.6 版韌體，以荷蘭為例，這版本佔了現有裝置的 10%。

合勤也在本周發佈安全公告。該公司解釋，這個後門本來是作為連網 AP 經由 FTP 伺服器自動更新韌體之用。

合勤列舉受影響的產品，包括跑 ZLD 4.6 版韌體的防火牆 ATP 系列、USG 系列、USG FLEX 系列、VPN 系列，以及跑韌體 V6.00 到 V6.10 版的 NXC2500 和 NXC5500 型 AP 控制器。該公司也已經針對受影響的防火牆釋出修補程式，而 AP 控制器的修補程式則預定本周五（1/8）釋出。

研究人員警告使用上述裝置的用戶應立即安裝修補程式（如果有的話）。而即使裝置韌體是 4.6 以前的版本，用戶也應安裝更新，因為它包含之前版本漏洞的修補程式。此外，如果真的有必要，也最好關閉遠端管理的功能。

來源：Ars Technica

1/6 更新 ZyXEL 聲明

ZxXEL 台灣區營運總部來信針對此漏洞事件進行說明，整理如下：

一、寫死在韌體中的 zyfwp 帳號，只能讀取，主要的用途為更新 AP 韌體，，並非管理帳號，更不是超級管理員。

二、若客戶已有的防火牆設備無法立即更新韌體，建議解決方法為關閉設備的 FTP 功能。

三、受到 CVE-2020-29583 漏洞影響的韌體版本僅有 ZLD 4.60 Patch 0，該版本可以利用這一個誤植的帳號登入設備，該帳號並擁有管理者權限，所以建議客戶儘速將設備昇級至 4.60 patch 1。

四、11/30 收到 EYE Control 通報後，3 天內下架受影響的韌體，並提供 hotfix 韌體檔案。2 週內推出正式版本防火牆韌體版本更新，1/8 將發布 AP 控制器韌體更新。

五、1/5 清查受影響防火牆數量，全球數量 9,000 餘台，台灣地區為 122 台。

六、Zyxel 資安公告連結：https://www.zyxel.com/tw/zh/support/CVE-2020-29583.shtml

七、CVE-2020-29583 漏洞資安公告補充說明：https://www.zyxel.com/tw/zh/support/ci_general_20210106_916300.shtml

針對各產品的詳細資訊如下：

一、防火牆系列設備 (ATP/USG/USG FLEX/VPN 系列)：

1. 使用韌體版本 ZLD V4.60：該帳號可以在 Console/TELNET/SSH/WWW/SNMPv3 用該帳號登入，必須採取立即性行動。
2. 使用韌體版本 ZLD V4.60 之前版本 ：
   • 該帳號只能使用於 FTP 服務，並無法在 Console/TELNET/SSH/WWW/SNMPv3 用該帳號登入。
   • FTP 登入後，檢索在固定的韌體目錄，無權限切換至其它目錄。

二、無線控制器 (NXC 系列)：

1. 使用韌體版本 V6.0 及 V6.1：
   • 該帳號只能使用於 FTP 服務，並無法在 Console/TELNET/SSH/WWW/SNMPv3 用該帳號登入。
   • FTP 登入後， 檢索在固定的韌體目錄，無權限切換至其它目錄。
2. 使用韌體版本 V6.0 之前版本：
   • 該帳號也存在，使用範圍同上述，所以風險程度屬低風險。

若無法立即更新到修正版本，建議客戶採取行動如下：

一、防火牆系列設備：

1. 如果沒有遠端管理的需求，請在 WAN 端停用 FTP/TELNET/SSH/WWW/SNMPv3 服務設定 (預設為關閉)。如果需要遠端管理，務必在防火牆系列設備上管理服務控制中新增管理服務控制來源 IP 位置，或設定策略控制允許可以連線的來源 IP 來避免非法連線. 若無法指定來源 IP，可透過 VPN 連線做遠端管理。
2. LAN 端請在防火牆系列設備上管理服務控制中新增管理服務控制來源 IP 位置，或設定策略控制允許可以連線的來源 IP 來避免非法連線。

二、無線控制器：由於該帳號只能使用於 FTP 服務，無法在 Console/TELNET/SSH/WWW/SNMPv3 用該帳號登入

1. 如果沒有用 FTP 作為 AP 軟體昇級的方法，請把設備上管理服務控制中關閉 FTP 服務。
2. 如必需要開啟 FTP 服務，請在設備上管理服務控制中新增管理服務控制來源 IP 位置，或設定策略控制允許可以連線的來源 IP 來避免非法連線。