知名网络设备商合勤科技zyxel近日被安全人员发现了一个非常糟糕的漏洞,有超过10多万台网络设备产品,被内置一个超级管理员账号,而且是被写死的。
根据eye control netherlands安全研究人员通报,这个被命名为cve-2020-29583的漏洞显示,能让黑客通过ssh接口或者网页管理员控制面板直接对相关设备进行root级别访问,情事相当严重。zyxel官方也紧急推出固件更新,希望用户能尽快行动。
受到影响的产品包括,atp系列、usg系列、usg flex系列和vpn系列,还有nxc2500和nxc5500 ap控制器等,这基本上已涵盖大部分的主流设备,能在版本号为4.60的固件中轻易发现明码的超级管理员账号。防火墙、vpn和接入点控制器都将受到威胁。黑客可以尽情地利用这个账号轻而易举的启动大规模安全攻击。
企业已紧急为此在九游会官网真人游戏第一品牌官网上发出更新,目前需更新的机型型号及进度如下图。
相关更新已可在官方网站中下载。(source:zyxel)
不过还有部分设备如nxc系列更新可能要等到4月份才有办法发送。而在固件更新后将能顺利删除掉超级管员账号zyfwp,值得一提的是,此次反而是一些老旧设备或更早期的固件版本没有问题,还不需要急着更新,还有运行sd-os的vpn系列产品也不受影响。
专家表示,若不尽早修复将可能对企业造成毁灭性的打击,尤其zyxel是中小企业流行使用的网通设备,应对大规模安全攻击是相当吃力,通常连定期更新固件的都很少。此漏洞将能令黑客完整的访问企业网络,窃取信息甚至破坏设备,不可不慎。
(首图来源:flickr/norlando pobrecc by 2.0)