Zyxel 방화벽과 VPN 게이트웨이 및 AP controller에 SSH 인터페이스 및 웹 관리 패널에 Root 권한을 부여할 수 있는 하드코딩된 백도어 계정이 발견되었다. 이에 따라 zyxel에서는 CVE-2020-29583(CVSS 7.8)로 등록된 해당 취약점을 수정하는 패치를 공개하였다.

Eye Control에서 발견한 이 백도어 계정은 USG, USG FLEX, ATP 및 VPN 방화벽 제품을 비록한 다양한 zyxel 기기의 설치된 펌웨어 Version 4.60에 존재하며 계정 “zyfwp”과 비밀번호 “PrOw! aN_fXr”의 비밀번호를 사용하는 백도어 계정으로 자동 펌웨어 업데이트를 제공하기 위해 사용되었던 것으로 zyxel은 밝혔다.

제공된 패치를 적용하면 하드코딩된 계정을 빠르게 삭제처리 할 수 있으며 해당 취약점을 통해 관리자 권한을 획득할 수 있기에 빠르게 패치할 것을 권고하였다. 다만 AP controller는 패치한 V6.10을 2021년 1월 8일에 제공할 예정이다.

이와 같은 백도어 계정의 문제가 처음 발생한 것이 아니며 Pulse Secure, Fortinet, Citrix, Mobielron과 Cisco와 같이 VPN과 방화벽의 취약점이 2019 ~ 2020년에 악용되었던 것을 고려하면 이와 같은 보안 장비에 대한 꾸준한 정기 점검과 패치, 관심이 필요하다.

[참고자료]

https://thehackernews.com/2021/01/secret-backdoor-account-found-in.html

https://www.zyxel.com/support/CVE-2020-29583.shtml

https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

보안관제센터 Team MIR