在几个Zyxel防火墙、VPN产品中发现秘密后门帐户

Zyxel发布了一个补丁，以解决其固件中的一个关键漏洞，该漏洞与一个硬编码、未记录的秘密帐户有关，攻击者可能会滥用该帐户以管理权限登录并危害其网络设备。

该漏洞被追踪为CVE-2020-29583（CVSS分数7.8），影响Zyxel设备的4.60版本，包括统一安全网关（USG）、USG FLEX、ATP和VPN防火墙产品。

眼科研究人员Niels Teusink于11月29日报告了Zyxel的漏洞，随后该公司于12月18日发布了固件补丁（ZLD V4.60 Patch1）。

根据Zyxel发布的公告，未记录的帐户（“zyfwp”）带有一个不可更改的密码，该密码不仅以明文形式存储，还可能被恶意第三方用来以管理员权限登录SSH服务器或web界面。

Zyxel表示，这些硬编码凭证已到位，可通过FTP向连接的接入点提供自动固件更新。

Teusink指出，荷兰1000台设备中约有10%运行受影响的固件版本，该漏洞相对容易被利用，因此是一个严重的漏洞。

“因为zyfwp“用户拥有管理员权限，这是一个严重的漏洞，”Teusink在一篇文章中说攻击者可能会完全破坏设备的机密性、完整性和可用性。"

“例如，有人可以更改防火墙设置以允许或阻止某些流量。他们还可以拦截流量或创建VPN帐户以访问设备背后的网络。再加上像Zerologon这样的漏洞，这可能会对中小型企业造成毁灭性的影响。”

预计这家台湾公司还将在配备V6的接入点（AP）控制器中解决这一问题。10款PACCH1将于2021年4月发布。

强烈建议用户安装必要的固件更新，以降低与该漏洞相关的风险。