10万+合勤科技防火墙和 VPN 网关被曝秘密后门

该后门账户是由荷兰公司 Eye Control 的安全团队发现的，他们建议设备所有人尽快更新系统。

安全专家警告称，任何人如 DDoS 僵尸网络操纵人员、国家黑客组织和勒索团伙都可滥用该后门账户访问易受攻击的设备并跳转到内部网络，实施额外攻击。

受影响的机型包括合勤科技的多款企业级明星产品，它们通常部署于私营企业和政府网络。这些产品线包括：

• 高阶威胁防护 (ATP) 系列：通常用作防火墙

• 联合安全网关（USG）系列：用作混合防火墙和 VPN 网关

• USG FLEX 系列：用作混合防火墙和 VPN 网关

• VPN 系列：用作 VPN 网关

• NXC 系列：用作 WLAN 访问点控制器

其中很多款设备用于公司网络，一旦受陷，将使攻击者跳转并进一步攻击内部主机。目前补丁仅适用于 ATP、USG、USG Flex 和 VPN 系列。合勤科技发布安全公告称，NXC 系列补丁将于2021年4月发布。

研究人员指出，安装补丁后可删除该后门账户（用户名是 zyfwp，密码是 PrOw!aN_fXp）。

研究人员在2020年圣诞假期发布报告称，“明文密码可在系统上的其中一个二进制中发现。”研究人员表示该账户具有对账户的 root 访问权限，因为该账户用于通过 FTP 向其它互联的合勤科技设备发送固件更新。

物联网安全研究员 Ankit Anubhav 接受采访时表示，合勤科技公司本应从2016年发生的一起事件中汲取教训。当时，该公司的设备中包含一个秘密后门 (CVE-2016-10401)，可导致任何人通过超级用户密码 “zyad5001” 将设备上的任意账户权限提升至root 权限。

Anubhav 指出，“合勤科技之前已经发生这些事件，这次竟然又出现了另外一个硬编码凭据，多个僵尸网络已经滥用该事件。CVE-2016-10401 目前仍然位于物联网僵尸网络多数密码攻击的武器库中。”

目前的后门漏洞编号为 CVE-2020-29583，且情况更糟糕。Anubhav 表示，虽然2016年的后门机制要求攻击者受限需要能够访问合勤科技设备上的低权限账户，以此升级至 root 权限，但目前的后门更为糟糕的原因在于可导致攻击者在无需任何特殊条件的情况下直接访问设备。Anubhav 表示，“另外，和之前的 exploit 仅用于 Telnet 不同，目前的漏洞利用所需专业性更低，因为可疑直接在托管在端口443的面板上尝试凭据。”

另外，Anubhav 表示，多数受影响的系统也各不相同。2016年的后门仅影响家庭路由器。目前攻击者能够触及多类受害者，其中多数是企业目标，原因是易受攻击的设备主要销往企业，目的是远程控制能够访问内网的用户。

在更广范围来看，这起事件产生的影响力更大，因为防护墙和 VPN 网关中的漏洞是2019年和2020年勒索攻击和网络间谍活动的主要来源之一。

Pulse Secure、Fortinet、Citrix、MobileIron 和思科设备中的安全缺陷经常被利用于攻陷企业和政府网络。该新后门可导致企业和政府机构遭受新一轮的类似攻击。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。