按 Enter 到主內容區
:::

TWCERT-電子報

:::

國內網通設備商多款網通產品含有資安漏洞,建議立即更新

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-01-07
  • 點閱次數:1281
國內網通設備商多款網通產品含有資安漏洞,建議立即更新 TWCERT/CC

CVE編號

CVE編號:CVE-2020-29583

內文

多款國內網通設備商生產之防火牆、VPN 闡道器等裝置遭發現內含硬式編碼認證漏洞。

國內網通設備商生產的多款網通產品,如硬體防火牆、VPN 闡道器、網路存取點控制器等裝置,遭資安廠商發現內含硬式編碼認證漏洞,這個帳號主要用途是透過 FTP 向連接的AP提供自動韌體更新。

發現這個嚴重問題的,是荷蘭資安廠商 Eye Control 旗下的資安研究人員;該單位日前發表研究報告,指出研究人員在以 root 登入自己使用的 USG40 整合安全闡道器(Unified Secuirity Gateway)時,發現在當時最新版的韌體 4.60 patch 0 版本中,有硬式編碼的一個管理者權限帳號,密碼以明文寫在程式碼之中。

該研究員繼續研究,還發現這組管理者登入資訊,同時可以用來登入 USG40 的 Web 和 SSH 管理界面;而這組登入資訊並未出現在較舊的韌體版本中。

這個漏洞的 CVE 編號為 CVE-2020-29583,其 CVSS 危險程度評分高達 7.3 分,屬「高危險」等級;原廠已於官方網站發布新版韌體,修復這個漏洞。請採用下列網通產品的用戶,立即下載並更新至最新版本,或暫時避免使用,以免遭到駭侵者透過該漏洞發動攻擊。

影響產品

防火牆:ATP、USG、USG FLEX、VPN(韌體版本 ZLD v4.60)。無線網路控制器:NXC2500、NXC5500 (韌體版本 V6.0- V6.10)。

解決辦法

防火牆系列升級至韌體版本 ZLD V4.60 Patch 1;無線網路控制器於 2021 年 1 月 8 日升級至韌體版本 V6.10 Patch1
回頁首