Der beliebte Hersteller von Netzwerkgeräten Zyxel hat eine Sicherheitswarnung veröffentlicht, wonach Cyberkriminelle Angriffe auf seine Firewalls und VPNs durchführen, um die Sicherheit der Computer zu durchbrechen und in das lokale Netzwerk des Unternehmens einzudringen. Das Unternehmen hat angegeben, dass die Zielgeräte die Remote-Verwaltung über SSL / TLS aktiviert haben und auch VPN aktiviert. Möchten Sie alle angreifenden Zyzel-Geräte kennen, um sich zu schützen?
Zyxel-Teams, die von diesen Angriffen betroffen sind
Die Zyzel-Computer, die von Cyberkriminellen angegriffen werden, sind die der USG / ZyWALL-Serie, USG FLEX, ATP und auch alle, die VPNs enthalten, die die ZLD-Firmware verwenden. In dem E-Mail die Zyzel gesendet hat, wurde darauf hingewiesen, dass die Angriffe auf Geräte abzielen, die dem Internet ausgesetzt sind, logischerweise alle diese Geräte wie Firewall oder VPN sind immer dem Internet ausgesetzt, um das interne Netzwerk vor Angriffen von außen zu schützen.
Dieser Gerätetyp ist das „Gateway“ für den Zugriff auf das interne Netzwerk nach der Authentifizierung gegenüber dem VPN Server oder Server, die wir auf diese Weise konfiguriert haben, kann ein Remote-Benutzer auf das interne Netzwerk des Unternehmens zugreifen, wenn er sich über VPN mit der Zyxel-Firewall verbindet. Eine gute Sicherheitspraxis besteht darin, nur den VPN-Port für das Internet freizugeben, sodass nur eingehende Verbindungen zuvor mit einem Benutzernamen/Passwort oder direkt mit einem digitalen Zertifikat authentifiziert werden. Bei dieser Art von Geräten ist es sehr wichtig, den Administrations-Webport niemals offenzulegen, da er für XSS-Angriffe oder ähnliches anfällig sein könnte.
Wie die Zyxel-Teams angreifen
Angreifer versuchen, die Computerauthentifizierung zu umgehen und SSL-VPN-Tunnel mit unbekannten Benutzerkonten aufzubauen, indem sie beispielsweise Konten wie „zyxel_silvpn“, „zyxel_ts“ oder „zyxel_vpn_test“ verwenden, um Geräteeinstellungen zu manipulieren. Zyxel untersucht diese Angriffe, um festzustellen, ob es sich um eine bereits bekannte und ungelöste Schwachstelle handelt, oder aber um eine neue, bisher unbekannte Schwachstelle. Wie viele Clients betroffen sind, weiß der Hersteller derzeit nicht, da anscheinend nur Clients mit der öffentlich zugänglichen Verwaltungswebsite betroffen sind. Sie wissen auch bis heute nicht, ob sie Kundengeräte erfolgreich kompromittieren können oder es einfach nur versuchen.
Zyxel entwickelt derzeit ein Firmware-Update mit allen Sicherheitspraktiken, um die Sicherheit der Administration über das Web zu verbessern, mit dem Ziel, die Angriffsfläche zu reduzieren.
Zyxel-Sicherheitsempfehlungen
Der Hersteller hat eine Reihe grundlegender Empfehlungen veröffentlicht, um Ihre Geräte bestmöglich zu schützen, diese Empfehlungen gelten jedoch auch für alle Geräte mit ähnlichen Eigenschaften. Die allgemeinen Tipps sind, die Geräte mit den geringstmöglichen Berechtigungen zu konfigurieren, die Geräte mit den neuesten Firmware-Versionen zu patchen, nach Möglichkeit Zwei-Faktor-Authentifizierung zu verwenden und auch sehr vorsichtig mit Phishing-Angriffen innerhalb des professionellen lokalen Netzwerks zu sein.
Natürlich ist es wichtig, die minimal mögliche Anzahl von Ports freizugeben. Wenn beispielsweise kein Remote-Zugriff erforderlich ist, sollten wir keine offenen Ports haben und eine Richtlinie haben, jede Kommunikation zu verweigern. In jüngster Zeit zielen Cyberkriminelle mit Ransomware-Angriffen auf eine Vielzahl von Geräten, Firewalls und der Möglichkeit, über VPN aus der Ferne auf lokale Ressourcen zuzugreifen, speziell auf diese Arten von Geräten ab, die normalerweise am Perimeter des Netzwerks platziert werden, um das interne Netzwerk vor ungebetenen Verkehr. Wir dürfen nicht vergessen, dass es in den letzten Jahren mehrere Schwachstellen in Fortigate SSL VPN, Pulse Secure SSL VPN und anderen wie SonicWall gab.
