合勤产品后门

TL; DR：如果您有Zyxel USG，ATP，VPN，ZyWALL或USG FLEX，则应立即更新到最新的固件版本。您可以在此处找到受影响设备的完整列表，并在此处找到Zyxel通报。

Zyxel是面向中小企业的防火墙的流行品牌。他们的统一安全网关（USG）产品线通常用作防火墙或VPN网关。由于我们中的许多人在家工作，因此具有VPN功能的设备最近销售情况良好。

当我在Zyxel USG40上进行一些研究（扎根）时，我很惊讶地发现一个用户帐户＆＃39; zyfwp＆＃39;。在最新的固件版本（4.60补丁0）中带有密码哈希。在系统的二进制文件之一中可见纯文本密码。令我惊讶的是，该帐户似乎可以同时在SSH和Web界面上使用。

该用户在界面中不可见，并且其密码无法更改。我检查了以前的固件版本（4.39），尽管用户存在，但没有密码。似乎该漏洞已在最新固件版本中引入。即使较早的版本没有此漏洞，但它们确实存在其他漏洞（例如此缓冲区溢出），因此您仍然应该进行更新。

由于这些设备上的SSL VPN与Web界面在同一端口上运行，因此许多用户已将这些设备的端口443暴露给了Internet。利用Project Sonar的公开数据，我能够识别出荷兰约3.000个Zyxel USG / ATP / VPN设备。在全球范围内，超过100.000台设备已将其Web界面公开到Internet。

根据我们的经验，这些设备的大多数用户不会经常更新固件。 Zyxel设备不会向未经身份验证的用户公开其固件版本，因此确定设备是否易受攻击要困难一些。我们想了解受影响设备的数量，但是（从道德和法律角度而言）仅尝试尝试输入密码实际上并不是一种选择。幸运的是，可以从这些设备的Web界面请求一些javascript和CSS文件，而无需进行身份验证。这些文件似乎在每个固件版本中都会更改。使用此信息，我们可以获得易受攻击的固件版本的唯一指纹。我们使用此信息来识别荷兰的1.000设备的固件版本，发现大约10％的设备正在运行受影响的固件版本。 Zyxel确实提供自动更新，但默认情况下未启用这些功能。幸运的是，在引入此漏洞后仅几周，我们就可以找到该漏洞，否则受影响的设备数量可能会更多。

由于zyfwp用户具有管理员权限，因此这是一个严重的漏洞。攻击者可能会完全破坏设备的机密性，完整性和可用性。例如，有人可以更改防火墙设置以允许或阻止某些流量。他们还可以拦截流量或创建VPN帐户来访问设备背后的网络。再加上像Zerologon这样的漏洞，这可能对中小企业造成毁灭性的打击。

由于该漏洞的严重性以及易于利用，因此我们决定暂时不释放该帐户的密码。 我们确实希望其他人能够找到并发布它，这就是为什么我们建议您尽快安装更新的固件的原因。 我迅速向Zyxel发送了一封邮件，以报告未记录的用户帐户。 据Zyxel称，该帐户旨在通过FTP为访问点提供自动固件更新。 他们在不到两周后发布了固定的固件版本。 您可以在此处找到USG40的发行说明。 我们要感谢合勤安全团队的快速响应和补丁。 2020-12-08：合勤科技发布Beta固件4.60-WK48，并从其站点中删除易受攻击的固件版本