黑客们正试图利用最近发现的嵌入多个Zyxel设备模型的后门，数十万个人和企业将其用作vpn、防火墙和无线接入点。

荷兰安全公司Eye Control的一名研究人员最近报告称，这种“后门”的形式是一个没有正式文件的用户账户，具有完全的管理权限，沐鸣开户测速并被硬编码到设备固件中。该帐户使用用户名zyfwp，可以通过SSH或Web界面访问。

一个严重的漏洞

该研究人员警告称，该帐户将用户置于相当大的风险之中，特别是如果该帐户被用于利用其他漏洞，如Zerologon(一个关键的Windows漏洞，允许攻击者立即成为全能的网络管理员)等。

眼控研究员Niels Teusink写道:“由于zyfwp用户拥有管理员权限，这是一个严重的漏洞。”“攻击者可能会完全破坏设备的机密性、完整性和可用性。例如，有人可以更改防火墙设置，以允许或阻止某些流量。他们还可以拦截流量，或者创建VPN账户来访问设备背后的网络。再加上像Zerologon这样的脆弱性，这对中小企业可能是毁灭性的。”

安全公司GreyNoise的创始人兼首席执行官安德鲁·莫里斯(Andrew Morris)周一表示，他们公司的传感器已经检测到使用账户凭证试图登录脆弱设备的自动攻击。在大多数或所有的登录尝试中，攻击者只是将凭证添加到现有的默认用户名/密码组合列表中，用于攻击不安全的路由器和其他类型的设备。

“根据定义，我们所看到的一切都是机会主义的，沐鸣开户测速”Morris说，这意味着攻击者正在以一种伪随机的方式使用证书攻击IP地址，希望找到容易被接管的连接设备。GreyNoise在全球数百个数据中心部署了收集传感器，以监控互联网扫描和开发尝试。

灰噪音正在SSH连接上尝试登录，但眼控研究人员Teusink说，这些非法帐户也可以通过网络界面访问。研究人员说，最近的扫描显示，超过10万Zyxel设备的网络界面暴露在互联网上。

Teusink说，后门似乎已经在几周前发布的固件版本4.60补丁0中引入。对荷兰Zyxel设备的扫描显示，大约10%的设备正在运行这种易受攻击的版本。Zyxel发布了一份安全警告，指出了受到影响的具体设备型号。它们包括:

防火墙

ATP系列运行固件ZLD V4.60

USG系列运行固件ZLD V4.60 ZLD

USG FLEX系列运行固件ZLD V4.60

VPN系列运行固件ZLD V4.60

美联社控制器

NXC2500运行固件版本V6.00到V6.10

NXC5500运行的固件版本为V6.00到V6.10

对于防火墙模型，已经有了补丁。与此同时，美联社的控制器将在周五收到修复。Zyxel表示，它设计的后门通过FTP向连接的接入点提供自动固件更新。

使用这些受影响设备的用户应该确保一旦它可用就安装安全补丁。即使设备运行的是4.6之前的版本，用户仍然应该安装更新，因为它修复了早期版本中发现的单独漏洞。禁用远程管理也是一个好主意，除非有很好的理由允许它。