超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死(hardcoded)的管理员后门帐号,能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。
这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的,被认为是最糟糕的漏洞,建议设备拥有者在时间允许的情况下尽快更新系统。
安全专家警告说,从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙,任何人都可以滥用这个后门账户来访问脆弱的设备,并转入内部网络进行额外的攻击。
据悉,Zyxel 大部分主打产品均存在这个漏洞,受影响的产品型号包括:
Advanced Threat Protection (ATP) 系列:主要用于防火墙
Unified Security Gateway (USG) 系列:主要用于混合防火墙或者 VPN 网关
USG FLEX 系列:主要用于混合防火墙或者 VPN 网关
VPN 系列:主要用于 VPN 网关
NXC 系列:主要用于 WLAN 接入点控制
这些设备很多都是在公司网络的边缘使用,一旦被入侵,攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询,NXC系列的补丁预计将在2021年4月推出。
在安装补丁之后,Eye Control 表示可以删除后门帐号--用户名为“zyfwp”,密码为“PrOw!aN_fXp”。 研究人员表示,该账户拥有设备的root权限,因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。
最近,网络安全公司Palo Alto Networks旗下Unit 42团队发现了Gafgyt僵尸木马的一个新变种。它试图感染物联网设备,特别是Zyxel(合勤)、Huawei(华为)和Realtek(瑞昱)的小型办公/家用无线路由器。
Gafgyt是一种足以与JenX媲美的僵尸木马,主要通过利用远程代码执行漏洞来获取受感染设备的访问权限并将其变成“肉鸡”,以组建一个僵尸网络,曾被用来针对游戏服务器(特别是那些运行Valve Source引擎的服务器)发起DoS攻击。
从Shodan的扫描结果来看,全球共有超过3.2万台WiFi路由器可能会受到Gafgyt的攻击。
值得注意的是,与JenX相比,新的Gafgyt变种更具破坏性——增加了对Zyxel路由器漏洞的利用:
CVE-2017-18368– ZYXEL P660HN-T1A(新增加);CVE-2017-17215–Huawei HG532(也出现在JenX中);CVE-2014-8361– Realtek RTL81XX系列网卡(也出现在JenX中)。如上所述,新的Gafgyt变种能够利用三个“扫描程序”来尝试利用上述三种路由器上存在的已知远程代码执行漏洞。
图1.三个“扫描程序”
1号扫描程序:CVE-2017-18368 – ZYXEL P660HN-T1A
1号扫描程序利用的是Zyxel P660HN无线路由器的一个远程命令注入漏洞(CVE-2017-18368),该漏洞位于ViewLog.asp页面中,可以通过remote_host参数实现利用,如下所示。
有效载荷位于zyxelscanner_scanner_init()函数内部:
图2.位于zyxelscanner_scanner_init()函数内部的Zyxel漏洞利用代码
2号扫描程序:CVE-2017-17215 – Huawei HG532
1号扫描程序利用的是华为HG532路由器的一个远程代码执行漏洞(CVE-2017-17215),允许攻击者将恶意数据包发送到TCP端口37215,以此来发起攻击。
有效载荷位于huaweiscanner_scanner_init()函数内部:
图3.位于huaweiscanner_scanner_init()函数内部的华为漏洞利用代码
3号扫描程序:CVE-2014-8361 – Realtek RTL81XX系列网卡
这个扫描程序利用的是一个在2014年被公开披露的Realtek路由器远程代码执行漏洞,允许远程攻击者通过一个精心设计的NewInternalClient请求执行任意代码,如下所示。
有效载荷位于realtekscanner_scanner_init()函数内部:
图4.位于realtekscanner_scanner_init()函数内部的Realtek漏洞利用代码
根据设备的类型,这个新的Gafgyt变种会通过不同的扫描程序使用wget(一种能够从web服务器提取内容的计算机程序)来下载ARM7或MIPS二进制文件。
图5.下载二进制文件185.172.110[.]224/mips和185.172.110[.]224/arm7
一旦恶意软件在受感染设备上运行,它就会连接到C2服务器并上传设备信息(如IP地址、体系架构都能等),以将受感染设备变成僵尸网络的一部分:
图6.在TCP端口993上通过185.172.110[.]224连接到C2服务器
随后,C2服务器会使用PING命令作为响应:
图7.将受感染设备变成僵尸网络的一部分
图8.C2响应
受感染设备在变成“肉鸡”之后,将收到执行各种类型DoS攻击的命令。
Gafgyt利用的是物联网设备中的已知漏洞(其中一些漏洞早在5年前就已经被公开披露)来获取控制权限,并使它们成为用于攻击游戏服务器的大型僵尸网络的一部分。
在暗网,我们能够很轻易买到类似Gafgyt这样的僵尸木马,甚至只需花上几美元,就可以发起大规模DoS攻击,而无需掌握任何专业知识。
简而言之,僵尸木马的“商业化+低成本”对全球的无线路由器用户所构成的威胁正在逐步扩大,而即使安装补丁是一种最为经济实惠的防御手段。
相关问答
ADSL合勤ZyXEL6421人讨论687次围观关注问题写回答讨论回答(1)txca1afaa8ZYXEL华勒合勤642端口映射Menu11.1-RemoteNodePro...
默认的是admin或者guest如果都不是,那就恢复路由器的出厂设置,再重新设置无线网初始密码是多少一般家用wifi(无线网)的密码是自己(或管理员),登录...
无线网初始密码是多少ADSL路由器默认帐号密码及部分ADSL路由器默认帐号密码艾玛701g192.168.101.1192.168.0.1用户名:admin密码:admin用户名:SZIM...
买一个无线的路由器就可以了,把上网的帐号密码设置在路由器中,这样就不用每次上网都输入了.名牌有很多,推荐ZyXEL的,性能比较好.有用(0)回复IDSBG买一个CDM...
电子产品知名有以下1。ACER(宏碁)2。TRENDMICRO(趋势科技)3。ASUS(华硕电脑)4。HTC(宏达电)5。SYNNEX(联强国际)6。ZYXEL(合勤科技)7。TRANSCEND(创...
一起装修网问答平台为您提供合勤ZyXEL怎么样的相关答案,并为您推荐了关于合勤ZyXEL怎么样的相关问题,一起装修网问答平台:装修问题,因我而止。
不知道的话只有重置了,现在新版的路由器都没有初始密码电脑网络硬件问题。根据你的描述,登陆画面是这样的路由器,默认密码是:1,铭牌有用户名和密码...
用户名/密码都是admin无线网初始密码是多少ADSL路由器默认帐号密码及部分ADSL路由器默认帐号密码艾玛701g192.168.101.1192.168.0.1用户名:admin...
一般帐号密码都是admin无线网初始密码是多少ADSL路由器默认帐号密码及部分ADSL路由器默认帐号密码艾玛701g192.168.101.1192.168.0.1用户名:admin...
这个被设置过了,如果不是123456就想别的方法吧!电脑网络硬件问题。根据你的描述,登陆画面是这样的路由器,默认密码是:1,铭牌有用户名和密码。2,如...
