2021年1月2日,超出一百万个Zyxel防火墙、VPN网关和浏览点控制板被发觉包括一个硬编码的管理 *** 级后门账号,用户名密码为zyfwp / PrOw!aN_fXp,攻击者能够根据SSH插口或web管理 *** 控制面板获得对设备的root管理权限。
安全性权威专家警示说,所有人都很有可能乱用此后门账号来浏览易受攻击的设备,并转到內部互联网以开展别的攻击。
受影响的控制模块
包含Zyxel的以下商品:
高級威协安全防护(ATP)系列产品-关键用作防火墙
统一安全性网关(USG)系列产品-用作混和防火墙和VPN网关
USG FLEX系列产品-用作混和防火墙和VPN网关
VPN系列产品-用作VPN网关
NXC系列产品-用作WLAN连接点控制板
这种设备中很多设备全是在局域 *** 的通道应用,一旦遭受毁坏,攻击者就可以进一步对內部服务器进行攻击。
现阶段仅有ATP、USG、USG Flex和VPN系列产品出示补丁下载。依据Zyxel安全性公示,NXC系列产品的补丁下载预估将于2021年4月公布。
依据Eye Control科学研究工作人员的叫法,安裝补丁程序后将清理数据名叫“zyfwp ”、登陆密码为“PrOw!aN_fXp”的后门账号,提议设备使用人在時间容许的状况下尽早系统更新。
物联网安全研究者Ankit Anubhav在接纳ZDNet 访谈时表示,Zyxel在2016年产生相近事情。
那时候公布的CVE-2016-10401是Zyxel设备包括一个密秘后门体制,容许所有人应用SU(忠实用户)的登陆密码“zyad5001”将Zyxel设备上的一切帐户提高到root等级。
Anubhav还告知ZDNet说:“再度见到一个硬编码凭据是让人诧异的,由于在上一次的事情中,它被好多个拒绝服务攻击乱用,导致了较比较严重的不良影响。”
现阶段CVE-2016-10401依然是大部分根据登陆密码攻击的物联网技术拒绝服务攻击的专用工具,可是此次的CVE-2020-29583状况更为比较严重。
防火墙和VPN网关的系统漏洞已变成2019年和2020年勒索病毒攻击和互联网情报活动的关键来源于之一。如Pulse Secure、Fortinet、Citrix、MobileIron和Cisco设备中的安全性系统漏洞常常被运用来攻击企业和 *** 部门互联网。
新的后门很有可能会使企业和 *** 部门遭受过去2年里的同样种类的攻击。
文中汉语翻译自:
前几天推的趣农场鸡蛋涨价还挺快的,估量要不了几天人人都可以去提现了。最近另有一个养鸡的项目叫“全民牧鸡”,新用户注册实名(填姓名和支付宝即可),可免费领取一只鸡,天天收益3米,最低20米提现,天天签到...
被薛凯琪视为救命恩人的方大同,多年来一直守候在其身边,最近更传出秘密复合。日前,薛凯琪抽空陪方大同踩单车做运动,期间搞笑地揽住灯柱扮树熊,哄到方大同哈哈笑。 自爆曾患上抑郁症并想过自杀的薛凯琪,幸获...
本文导读目录: 1、最好的DDOS软件是什么? 2、手机应用被ddos怎么办? 3、黑客为什么攻击我的手机 4、安卓机用终端模拟器怎么实现DDOS攻击?用什么命令?别说不可能, 5、目...
注册商标转让的步骤 一、注册商标转让的步骤是如何的 出让商标注册所应执行的法律规定办理手续。在我国,出让人与买受人就出让商标注册事项达成共识后,应一同向国家商标局提交申请。其实际步骤是: (1)填好《...
娱乐中国讯 2月4日,由华策克顿旗下好故事影视出品,吴锦源执导,赵丽颖、王一博领衔主演,张慧雯、陈若轩、孙坚、周洁琼、张昕宇、冷纪米主演的古装武侠剧《有翡》非会员版已于昨日正式收官。该剧改编自Prie...
昨天网站改版了,自我感觉还可以,改版的主要原因是分辨率的问题,很多大显示器看我的博客显示太窄了,而我自己使用的是笔记本,所以看不出什么异常,另外一个是自己看的也有些不习惯了。 上图是改版后的新网...