2021 年 1 月 11 日 Trevor Collins 著

ファイアウォールと AP のベンダである Zyxel 社が、自社のデバイスに対して、予期せぬビルトインの管理者ユーザアカウント「zyfwp」を含むファームウェアアップデートをリリースしていました。情報セキュリティの専門家はこの種のハードコードされた隠しアカウントを「バックドア」アカウントと呼ぶことが多いですが、これがベンダが意図的に用意したものか、不本意なものかは、はっきりと言えません。

最初にこれを発見したのは Eyecontrol 社で、研究者たちはこのビルトインアカウントを使ってSSH 経由で Zyxel 社のデバイスへのアクセスに成功しました。ファームウェアのアップデートにアカウントのユーザ名とパスワードが平文で含まれており、ファームウェアをレビューするユーザは誰でも認証情報を閲覧することができました。前述のように、このアカウントには管理者権限が付与されています。

このようなビルトインのユーザアカウントは、承認されていないユーザによるデバイスへのフルアクセスを可能にします。昨今のセキュリティデバイスに、ハードコードされたパスワードを持つビルトインアカウントを組み込むべきではありません。このアカウントは削除できないため、CLI アクセスさえあれば誰でもデバイスを完全に制御できる可能性があります。たとえば、悪意のあるハッカーがログインしてネットワークの VPN を作成すれば、セキュリティを回避した上でローカルネットワークへの完全なアクセスを得る可能性があります。また、バックドアアカウントを利用して、そのデバイスを通過するあらゆるインターネットトラフィックを読み取ることも可能です。

別のハッカーがこのアカウントのユーザ名とパスワードをすでに公開しており、脆弱性のあるファームウェアがインストールされたデバイスはすべてこの認証情報を許可するため、ログインページ、ポート 443、または SSH へのアクセスさえあれば悪用が可能です。ゲートウェイの防御を越えてしまえば脆弱性の濫用ははるかに簡単であり、ローカルアクセス権限を入力すれば、さらなる悪用が予想されます。最新の注意を払って更新されない限り、少しの手間で、ローカルコンピュータやプリンタ、その他のデバイスが標的となって危険にさらされる可能性があります。たとえばこの攻撃によって外部の攻撃者がゲートウェイのセキュリティを突破し、ランサムウェアを直接インストールすることもできます。このような理由から、ウォッチガードでは常に強力な多層防御を推奨しています。

Zyxel のファイアウォールで ZLD V4.60 （パッチ未適用）を実行しているもの、および APコントローラでV6.00～V6.10（パッチ未適用）を実行しているものには、この脆弱なユーザアカウントが含まれます。デバイスの設定ではこのアカウントを削除することができないため、「Patch 1」にアップグレードする必要があります。アップグレード方法はこちらをご覧ください。他の脆弱性が存在する可能性があるため、ダウングレードはお勧めしません。この脆弱性を持つ 10 万台以上の Zyxel 社のデバイスでログインページがインターネットに晒されており、攻撃者はすでにこの情報を列挙していることが報告されています。ネットワークアプライアンスのログインページを直接インターネットに公開してはならないのはもちろんですが、このような特権を持つハードコードされたアカウントが存在する場合は特に危険です。どうしても外部からのアクセスを許可しなければならない場合は、IP アドレスをホワイトリストに登録してデバイスにアクセスするか、あるいはデバイスに VPN で接続することをお勧めします。