合勤科技(ZYXEL)又出现低级错误 在固件中硬编码超级管理员还被曝光
来自台湾地区的合勤科技主要生产网络相关的设备,包括交换机、路由器、防火墙、网关以及接入点控制器产品。
此前合勤科技的产品就出现过存在安全漏洞被蠕虫爆破的情况,但是现在荷兰研究人员发现合勤还存在低级错误。
研究发现该公司在部分产品里竟然以硬编码形式写死超级管理员账号,任何获得账号密码的人均可直接进行控制。
事实上这个超级管理员账号用户并不知道,而是合勤科技自己预留的账号,这相当于是留个最高权限的后门账号。
部分网络设备本身预留管理员账号方便用户登陆管理,通常情况下制造商不会为用户提供ROOT级别的超管账号。
而比预留后门超管账号更恐怖的是合勤科技竟然是将该账号写死在固件里,所谓写死就是直接硬编码在固件当中。
写死后的账号是不支持进行修改的当然也无法进行禁用,这意味着任何获得账号密码的人都可以直接进行访问等。
即便是用户知道存在安全弱点也无法修改超管账号密码或者是禁用,必须等待制造商发布安全固件进行安全修复。
研究人员称这是个非常糟糕的安全漏洞,建议此类产品使用者在时间允许的情况下尽快更新系统确保漏洞被缓解。
否则任何黑客团队都可以滥用这个后门账号来访问脆弱的设备,并且可以渗透到内网中收集信息进行额外的攻击。
研究人员将漏洞通报给兆勤科技 (合勤旗下品牌)后得到该公司确认,该公司发布安全公告称将在四月份发布更新。
据兆勤科技的说明该硬编码超级管理员账号适用于FTP连接AP进行固件更新的,当然这种设计也确实是低级错误。
该公司发布安全更新后请用户立即进行更新以封杀这个超管账户,目前兆勤科技部分产品已经获得最新安全固件。
还有部分产品需要等到兆勤科技四月份发布安全更新进行修复,而在没有进行修复前建议用户暂停使用这类设备。