针对合勤固件出现写死的高权限帐密，传出骇客已用来尝试存取网络设备

荷兰资安厂商在2020年12月23日，揭露合勤网络与资安设备的固件，存在一组高权限的账号，以及被写死的密码，这项漏洞以CVE-2020-29583列管。但在不到半个月内，2021年1月5日威胁情报公司GreyNoise发现，有骇客在网络上锁定开放SSH连线的设备进行扫描，并利用多组账号密码尝试存取，而其中一组就是合勤这组高权限的帐密。如果受影响的使用者没有修补上述漏洞，很有可能就会成为被这些骇客盯上的攻击目标。

为何CVE-2020-29583受到高度重视？这项漏洞存在于2020年底才推出的固件ZLD 4.60，当中含有具有管理者权限的使用者账号zyfwp，以及无法修改（写死）的明文密码。此漏洞影响该公司旗下的多款产品线，合勤也自12月底推出修补程式。

但在这项漏洞被揭露不久，GreyNoise指出，他们在1月5日发现至少3个不同的IP地址，正在积极扫描可透过SSH连线存取的网络设备，而且尝试使用许多账号密码组合，其中一组就是前述合勤固件中出现的高权限账号，测试能否成功存取目标装置。

GreyNoise is observing both opportunistic exploitation of the newly discovered Zyxel USG SSH Backdoor and crawling of SOHO Routers. Tags available for all users via the GreyNoise web interface and API now.

hat tip @nathanqthai & @ackmage https://t.co/UgX7dOoHVs pic.twitter.com/p8zIubXdzL

— GreyNoise (@GreyNoiseIO) January 4, 2021

对于攻击者的手法，严格来说，不是直接锁定合勤的设备而来。GreyNoise首席执行官Andrew Morris向Bleeping Computer说明，此波攻击行动中，骇客并非只针对合勤的设备而来，而是扫描网络上开启SSH协定的设备，一旦侦测该装置到可透过SSH存取，攻击者就会尝试借由暴力破解来掌控装置，而其中一组被运用的账号密码，就是存在于前述合勤设备漏洞的zyfwp。

附带一提的是，其中一个被发现大肆扫描的IP地址，骇客运用了Cobalt Strike内建的SSH用户端软件来进行，Andrew Morris表示，这可能是攻击者想要规避威胁情报厂商侦测的手法。

关于CVE-2020-29583漏洞的情况，根据兆勤提供给我们的资料，在1月5日，全球尚有约9千台防火墙设备受到影响，其中台湾有122台；而到了1月6日，台湾仍有76台受到影响的设备。但上述在暴力破解攻击的过程中，骇客纳入此次漏洞出现的账号资料，造成的影响为何？恐怕有待日后的观察。