锐捷网络关于安全产品部分防火墙版本存在弱密码漏洞的通告

发布时间：2021-06-30

最新更新时间：2021-06-30

近日，锐捷网络在对产品进行自查过程中，发现部分安全产品存在弱密码漏洞（CNVD编号：CNVD-C-2021-143527）。通过弱密码，攻击者可登陆获取设备的控制权限，详细情况如下：

一、漏洞说明

RG-WALL 1600全新NGFW系列防火墙产品部分型号早期版本初始账户密码较为简单，锐捷网络建议在使用相关产品时应修改初始密码，使其符合一定密码复杂度要求。

二、影响范围

涉及产品型号与软件版本：

其他平台的最新软件版本，在首次登录时已强制用户修改初始密码，暂不涉及此问题。

三、漏洞定级

该漏洞需要基于设备的WEB或CLI登录功能进行利用，若登录访问被阻止，则不存在该风险。

按照《GB/T 30279-2013 信息安全技术安全漏洞等级划分指南》定义，此漏洞等级为“中危”。即：可远程操作、利用方式复杂，不易形成大规模攻击。

四、漏洞规避方案

1、在外网以及其他设备上，禁止外部IP对设备的管理地址访问；

2、开启管理员密码复杂性策略：

1）建议针对管理员账户设置不小于8位，同时至少包含1个大写字母及1个特殊字符的密码策略

2）设置成功后，重新登录防火墙时系统将提示重新设置符合密码复杂度策略的密码

五、漏洞解决方案

1、RG-WALL 1600-AF系列设备：

请采用规避方案；

2、针对新上线的设备（配置为空），可以通过TFTP升级方式至最新版本解决此问题，已上线的设备，建议采用规避方案：

此次漏洞涉及的产品型号，推荐的软件版本如下（截止到2021年6月20日）：