荷兰安全厂商在2020年12月23日,披露合勤网络与安全设备的固件,存在一组高权限的账号,以及被写死的密码,这项漏洞以CVE -2020-29583列管。但在不到半个月内,2021年1月5日威胁情报公司GreyNoise发现,有黑客在网络上锁定开放SSH连接的设备进行扫描,并利用多组账号密码尝试访问,而其中一组就是合勤这组高权限的帐密。如果受影响的用户没有修补上述漏洞,很有可能就会成为被这些黑客盯上的攻击目标。
为何CVE-2020-29583受到高度重视?这项漏洞存在于2020年底才推出的固件ZLD 4.60,其中含有具有管理者权限的用户账号zyfwp,以及无法修改(写死)的明文密码。此漏洞影响该公司旗下的多款产品线,合勤也自12月底推出修补程序。
但在这项漏洞被披露不久,GreyNoise指出,他们在1月5日发现至少3个不同的IP地址,正在积极扫描可通过SSH连接访问的网络设备,而且尝试使用许多账号密码组合,其中一组就是前述合勤固件中出现的高权限账号,测试能否成功访问目标设备。
GreyNoise is observing both opportunistic exploitation of the newly discovered Zyxel USG SSH Backdoor and crawling of SOHO Routers. Tags available for all users via the GreyNoise web interface and API now.
hat tip @nathanqthai&@ackmagehttps://t.co/UgX7dOoHVspic.twitter.com/p8zIubXdzL
—GreyNoise (@GreyNoiseIO)January 4, 2021
对于攻击者的手法,严格来说,不是直接锁定合勤的设备而来。GreyNoise首席执行官Andrew Morris向Bleeping Computer说明,此波攻击行动中,黑客并非只针对合勤的设备而来,而是扫描网络上打开SSH协议的设备,一旦侦测该设备到可通过SSH访问,攻击者就会尝试借由暴力破解来掌控设备,而其中一组被运用的账号密码,就是存在于前述合勤设备漏洞的zyfwp。
附带一提的是,其中一个被发现大肆扫描的IP地址,黑客运用了Cobalt Strike内置的SSH用户端软件来进行,Andrew Morris表示,这可能是攻击者想要规避威胁情报厂商侦测的手法。
关于CVE-2020-29583漏洞的情况,根据万亿勤提供给我们的资料,在1月5日,全球尚有约9千台防火墙设备受到影响,其中台湾有122台;而到了1月6日,台湾仍有76台受到影响的设备。但上述在暴力破解攻击的过程中,黑客纳入此次漏洞出现的账号资料,造成的影响为何?恐怕有待日后的观察。