压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，荷蘭網(wǎng)絡(luò)安全公司Eye Control的安全研究人員發(fā)現(xiàn)，超過10萬個(gè)合勤科技（Zyxel）公司的防火墻、接入點(diǎn)控制器和VPN網(wǎng)關(guān)產(chǎn)品中存在管理員級后門賬戶。這些在二進(jìn)制代碼中硬編碼的管理員級別賬戶使攻擊者可通過Web管理面板或SSH界面獲得對設(shè)備的root訪問權(quán)限。合勤科技（Zyxel）是一家位于中國臺灣新竹的網(wǎng)絡(luò)設(shè)備制造商。

可被輕松利用的漏洞

Zyxel固件中發(fā)現(xiàn)的后門被稱為關(guān)鍵固件漏洞，CVE編號CVE-2020-29583，得分為7.8 CVSS。雖然CVSS評分看似不是很高，但卻不可小覷。研究人員表示，這是一個(gè)極為嚴(yán)重的漏洞，所有者必須立即更新其系統(tǒng)。因?yàn)槿魏稳硕伎梢暂p松利用這個(gè)漏洞，從DDoS僵尸網(wǎng)絡(luò)運(yùn)營商到勒索軟件團(tuán)體和政府資助的黑客。

通過濫用后門賬戶，網(wǎng)絡(luò)罪犯可以訪問易受攻擊的設(shè)備并感染內(nèi)部網(wǎng)絡(luò)以發(fā)起其他攻擊。攻擊者可以使用管理特權(quán)登錄設(shè)備，并輕易破壞網(wǎng)絡(luò)設(shè)備。

研究人員Niels Teusink指出，漏洞嚴(yán)重性很高，因?yàn)橥{行為者隨時(shí)可以發(fā)起一系列攻擊，完全損害設(shè)備的機(jī)密性、完整性和可用性。

“例如，有人可以更改防火墻設(shè)置以允許或阻止某些流量。他們還可以攔截流量或創(chuàng)建VPN賬戶來訪問設(shè)備背后的網(wǎng)絡(luò)。與像Zerologon漏洞相結(jié)合，這可能對中小企業(yè)是毀滅性的?！盩eusink在規(guī)定的博客文章中表示。

多種Zyxel設(shè)備面臨風(fēng)險(xiǎn)

CVE-2020-29583漏洞影響許多Zyxel設(shè)備，主要是運(yùn)行4.0版的設(shè)備。受影響的模塊還包括企業(yè)級Zyxel設(shè)備，包括統(tǒng)一安全網(wǎng)關(guān)（USG）、ATP系列、NCX系列、USG FLEX系列和VPN系列。

Teusink說，在荷蘭的1000臺設(shè)備中，大約有10％使用受影響的固件版本。大部分受影響的設(shè)備都在Zyxel網(wǎng)絡(luò)的邊緣使用，攻擊者可以輕松地對內(nèi)部主機(jī)發(fā)起新的攻擊。

合勤科技發(fā)布補(bǔ)丁

Teusink于11月29日將漏洞信息通知了合勤科技。12月18日，合勤發(fā)布了固件補(bǔ)丁“ZLD V4.60 Patch1”。補(bǔ)丁程序目前可用于USG FLEx系列、ATP系列、USG和VPN系列。NCX系列補(bǔ)丁將于2021年4月發(fā)布。

合勤科技還發(fā)布了一份公告（https://www.zyxel.com/support/CVE-2020-29583.shtml），解釋該漏洞存在于硬編碼的未記錄賬戶“zyfwp”中，其密碼不可更改，密碼為“PrOw！aN_fXp”。該密碼以明文形式存儲，并且可能被惡意第三方利用。

據(jù)Zyxel稱，硬編碼憑據(jù)被用于通過FTP自動將固件更新分發(fā)到連接的訪問點(diǎn)。該公司將通過將于2021年4月發(fā)布的V6.10補(bǔ)丁1在其AP（接入點(diǎn)）控制器中解決此問題。合勤敦促用戶更新該公司的最新固件，以保護(hù)其設(shè)備。