知名网络设备商合勤科技Zyxel近日被安全人员发现了一个非常糟糕的漏洞,有超过10多万台网络设备产品,被内置一个超级管理员账号,而且是被写死的。
根据Eye Control Netherlands安全研究人员通报,这个被命名为CVE-2020-29583的漏洞显示,能让黑客通过SSH接口或者网页管理员控制面板直接对相关设备进行root级别访问,情事相当严重。Zyxel官方也紧急推出固件更新,希望用户能尽快行动。
受到影响的产品包括,ATP系列、USG系列、USG FLEX系列和VPN系列,还有NXC2500和NXC5500 AP控制器等,这基本上已涵盖大部分的主流设备,能在版本号为4.60的固件中轻易发现明码的超级管理员账号。防火墙、VPN和接入点控制器都将受到威胁。黑客可以尽情地利用这个账号轻而易举的启动大规模安全攻击。
企业已紧急为此在官网上发出更新,目前需更新的机型型号及进度如下图。
相关更新已可在官方网站中下载。(Source:Zyxel)
不过还有部分设备如NXC系列更新可能要等到4月份才有办法发送。而在固件更新后将能顺利删除掉超级管员账号zyfwp,值得一提的是,此次反而是一些老旧设备或更早期的固件版本没有问题,还不需要急着更新,还有运行SD-OS的VPN系列产品也不受影响。
专家表示,若不尽早修复将可能对企业造成毁灭性的打击,尤其Zyxel是中小企业流行使用的网通设备,应对大规模安全攻击是相当吃力,通常连定期更新固件的都很少。此漏洞将能令黑客完整的访问企业网络,窃取信息甚至破坏设备,不可不慎。
(首图来源:Flickr/Norlando PobreCC BY 2.0)