「管理者権限でログインできるバックドアアカウント」が10万台以上のZyxel製ネットワーク機器で見つかる

台湾のネットワーク機器メーカーであるZyxel製のファイアウォール機器やVPNゲートウェイに、第三者が管理者権限でログインできてしまう「バックドアアカウント」が発見されました。これにより影響を受けるデバイスは、全世界で10万台以上に達すると推測されており、セキュリティ研究者は所有者に対してすみやかなファームウェアのアップデートを推奨しています。

Zyxel security advisory for hardcoded credential vulnerability | Zyxel
https://www.zyxel.com/support/CVE-2020-29583.shtml

Undocumented user account in Zyxel products (CVE-2020-29583) - EYE
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

Backdoor account discovered in more than 100,000 Zyxel firewalls, VPN gateways | ZDNet
https://www.zdnet.com/article/backdoor-account-discovered-in-more-than-100000-zyxel-firewalls-vpn-gateways/

Backdoor account found in 100,000+ Zyxel Firewalls, VPN Gateways
https://www.hackread.com/zyxel-firewalls-vpn-gateways-backdoor-account/

2020年12月23日にオランダのセキュリティ会社であるEyeControlが、「第三者がZyxel製のネットワーク機器に管理者権限でログイン可能なバックドアアカウントのIDとパスワードを発見した」と報告しました。EyeControlのセキュリティ研究者であるNiels Teusink氏によると、問題のバックドアアカウントのユーザー名は「zyfwp」だとのこと。Teusink氏は、悪用があまりにも簡単なことからパスワードを非公開としましたが、IT系ニュースサイトのZDNetやHackRead は「パスワードは『PrOw!aN_fXp』」と報じています。

この脆弱(ぜいじゃく)性の影響について、Teusink氏は「たとえば、攻撃者はファイアウォールの設定を変更して特定のトラフィックを許可したりブロックしたりできます。また、トラフィックを傍受したり、VPNアカウントを新規作成したりして、デバイスが組み込まれているネットワークに不正にアクセスしたりすることもできます。2020年8月にMicrosoft製サーバーで見つかった深刻な脆弱性であるZerologonと同様に、この問題はZyxelの主な顧客である中小企業に壊滅的な打撃を与えるおそれがあります」と説明しました。

アメリカ国家インフラストラクチャー諮問委員会はこの脆弱性の深刻度を、0.0～10.0で表される共通脆弱性評価システム(CVSS)のスコアで「7.8」と認定しています。

Teusink氏が、インターネットを定期的にスキャンする研究プロジェクト「Project Sonar」のデータを使用して、今回発見された脆弱性の影響を受けるおそれのあるデバイスの数を調べたところ、全世界で10万台以上のZyxel製デバイスが該当することが分かりました。

Zyxelは既に、EyeControlからの通報を受けて問題のある製品の一覧を公開し修正パッチを配布しています。ただし、一部のLANコントローラー向けの修正パッチの配布は2021年4月になるとのこと。

Teusink氏は「古いファームウェアバージョンを確認したところ、ユーザー名はありましたがパスワードはありませんでした。従って、この脆弱性は発見時点で最新のファームウェアバージョンに混入していたようです。古いバージョンにはこの問題はありませんが、バッファオーバーフローなどの問題も見つかっているため、どのみちアップデートは実施すべきです」と述べて、Zyxel製デバイスの所有者に対してファームウェアの更新を強く推奨しました。