部分合勤网络与资安设备含有硬式编码漏洞，快更新固件

荷兰资安业者Eye Control在去年11月，发现台湾网通设备制造商合勤（Zyxel）刚释出的ZLD V4.60固件含有一后门账号，且同时影响多款防火墙及AP控制器产品，可能波及逾10万台合勤装置，呼吁合勤用户应尽速更新固件。

Eye Control的安全研究人员Niels Teusink说明，他是在研究自己的合勤防火墙装置 Zyxel USG40时，于它的4.60固件中发现了一个名为zyfwp的使用者账号，以及一个无法修改（写死）的明文密码，还发现此一账号同时适用于SSH与网页界面。旧版的固件只含有缓冲区溢位漏洞，并未见到此一账号，因此相信它是在4.60才出现的。

此一含有漏洞的固件同时支援ATP、USG、USG FLEX与VPN系列的防火墙，以及NXC2500及NXC5500两款AP控制器。

Teusink利用Project Sonar进行全球扫描之后，发现有超过10万台上述型号的合勤装置曝露在公开网络上，不过，一来合勤装置并不会揭露固件版本予未经授权的使用者，二来虽然合勤提供了自动更新机制，但预设值是关闭的，他相信这些网通设备的使用者不会太常更新固件，因而无法确实统计受害规模。

对此，我们也洽询合勤集团负责产品通路的兆勤科技，他们表示，关于全球超过10万台影响，此为该名研究员预估，而根据他们的清查，目前台湾受影响的设备共有122台。

危险的是，固件内建的zyfwp用户具备管理员权限，代表取得该权限的骇客将能完全取得装置的控制权，包括变更防火墙设定以允许或封锁特定流量，也能窃听流量或建立VPN账号。

而根据合勤的说法，zyfwp是专门用来透过FTP传递固件自动更新的账号。我们向兆勤科技征询此事时，他们则是强调，该账号不是所谓的后门账号，也并非超级账号，属于硬式编码（Hard Code）漏洞，此账号是写死在固件中，只能读取，主要的用途为更新AP固件。

在获得Eye Control的通报之后，合勤已于去年12月中陆续修补此一编号为CVE-2020-29583的安全漏洞。

目前合勤已修补4个系列的防火墙产品，至于两个AP控制器的修补程式预计要到4月才会问世（编按：根据目前合勤公布的资讯，将于1月8日提供）。