Le célèbre fabricant d'appareils réseau Zyxel a publié un avis de sécurité indiquant que les cybercriminels mènent des attaques sur ses pare-feu et VPN, dans le but de briser la sécurité des ordinateurs et d'essayer de pénétrer le réseau local de l'entreprise. La société a indiqué que les appareils cibles ont une gestion à distance activée via SSL / TLS et également VPN activée. Voulez-vous connaître tous les appareils Zyzel qui attaquent afin de vous protéger ?
Les équipes de Zyxel touchées par ces attaques
Les ordinateurs Zyzel qui sont attaqués par les cybercriminels sont ceux de la série USG / ZyWALL, USG FLEX, ATP et aussi tous ceux qui intègrent des VPN utilisant le firmware ZLD. Dans le email que Zyzel a envoyé, il a été indiqué que les attaques ciblent les appareils qui sont exposés à Internet, logiquement, tous ces appareils tels que pare-feu ou VPN sont toujours exposés à Internet pour protéger le réseau interne des attaques externes.
Ce type d'appareil est la « passerelle » pour accéder au réseau interne après authentification auprès du VPN serveur ou des serveurs que nous avons configurés, de cette manière, un utilisateur distant peut accéder au réseau interne de l'entreprise s'il se connecte via VPN au pare-feu Zyxel. Une bonne pratique de sécurité consiste à exposer uniquement le port VPN à Internet, afin que seules les connexions entrantes soient préalablement authentifiées avec un nom d'utilisateur/mot de passe ou directement avec un certificat numérique. Dans ce type d'appareil, il est très important de ne jamais exposer le port Web d'administration, car il pourrait être vulnérable aux attaques XSS ou similaires.
Comment les équipes de Zyxel attaquent
Les attaquants tentent de contourner l'authentification de l'ordinateur et d'établir des tunnels VPN SSL avec des comptes d'utilisateurs inconnus, par exemple en utilisant des comptes tels que « zyxel_silvpn », « zyxel_ts » ou « zyxel_vpn_test » pour manipuler les paramètres de l'appareil. Zyxel enquête sur ces attaques pour déterminer si elles sont dues à une vulnérabilité déjà connue et non résolue, ou, cependant, à une nouvelle vulnérabilité qui n'était pas connue jusqu'à présent. Le fabricant ne sait pas pour le moment combien de clients sont concernés, car il semble que seuls les clients disposant du site d'administration accessible au public soient concernés. Ils ne savent pas non plus à ce jour s'ils peuvent réussir à compromettre les appareils des clients ou s'ils essaient simplement de le faire de toute façon.
Zyxel développe actuellement une mise à jour du firmware avec toutes les pratiques de sécurité afin d'améliorer la sécurité de l'administration via le web, dans le but de réduire la surface d'attaque.
Recommandations de sécurité Zyxel
Le fabricant a publié une série de recommandations de base pour protéger au mieux vos appareils, cependant, ces recommandations sont également valables pour tout équipement présentant des caractéristiques similaires. Les conseils génériques consistent à configurer les appareils avec les privilèges les plus bas possibles, à corriger les appareils avec les dernières versions du micrologiciel, à utiliser l'authentification à deux facteurs dans la mesure du possible et à faire très attention aux attaques de phishing au sein du réseau local professionnel.
Bien sûr, il est essentiel d'exposer le nombre minimum de ports possible, par exemple, si l'accès à distance n'est pas nécessaire, alors nous ne devrions pas avoir de ports ouverts et avoir une politique de refus de toute communication. Ces derniers temps, avec des attaques de ransomware sur une multitude d'appareils, des pare-feu et la possibilité d'accéder à distance aux ressources locales via VPN, les cybercriminels ciblent désormais spécifiquement ces types d'appareils qui sont normalement placés sur le périmètre du réseau pour protéger le réseau interne des trafic non sollicité. Nous devons nous rappeler que ces dernières années, il y a eu de multiples vulnérabilités dans Fortigate SSL VPN, Pulse Secure SSL VPN et d'autres comme SonicWall.
