[情報] 超級管理員帳號外洩，Zyxel 用戶面臨嚴重

超級管理員帳號外洩，Zyxel 用戶面臨嚴重資安威脅

https://bit.ly/38bjoVi

知名網路設備商合勤科技 Zyxel 近日被資安人員發現了一個非常糟糕的漏洞，有超過
10 多萬台網路設備產品，被內建一個超級管理員帳號，而且是被寫死的。

根據 Eye Control Netherlands 資安研究人員通報，這個被命名為 CVE-2020-29583 的
漏洞顯示，能讓駭客透過 SSH 介面或者網頁管理員控制面板直接對相關設備進行 root
級別訪問，情事相當嚴重。Zyxel 官方也緊急推出韌體更新，希望用戶能盡快行動。

受到影響的產品包括，ATP 系列、USG 系列、USG FLEX 系列和 VPN 系列，還有 NXC2500
和NXC5500 AP 控制器等，這基本上已涵蓋大部份的主流設備，能在版本號為 4.60 的韌
體中輕易發現明碼的超級管理員帳號。防火牆、VPN 和接入點控制器都將受到威脅。駭客
可以盡情地利用這個帳號輕而易舉的啟動大規模資安攻擊。

業者已緊急為此在官網上發出更新，目前需更新的機種型號及進度如下圖。

https://img.technews.tw/wp-content/uploads/2021/01/04113714/Zyxel.png

不過還有部分設備如 NXC 系列更新可能要等到 4 月份才有辦法發送。而在韌體更新後將
能順利刪除掉超級管員帳號 zyfwp，值得一提的是，此次反而是一些老舊設備或更早期的
韌體版本沒有問題，還不需要急著更新，還有運行 SD-OS 的 VPN 系列產品也不受影響。

專家表示，若不盡早修復將可能對企業造成毀滅性的打擊，尤其 Zyxel 是中小企業流行
使用的網通設備，應付大規模資安攻擊是相當吃力，通常連定期更新韌體的都很少。此漏
洞將能令駭客完整的訪問企業網路，竊取資訊甚至破壞設備，不可不慎。

--