Zyxels brannmurer er hacket og også VPN for selskaper

Den populære produsenten av nettverksenheter Zyxel har gitt ut en sikkerhetsrådgivning som sier at nettkriminelle utfører angrep på brannmurer og VPN-er, med sikte på å bryte gjennom datamaskinsikkerheten og prøve å trenge gjennom selskapets lokale nettverk. Selskapet har indikert at målenhetene har fjernadministrasjon aktivert via SSL / TLS og også VPN aktivert. Vil du vite alle Zyzel-enhetene som angriper for å beskytte deg selv?

Zyxel-team berørt av disse angrepene

Zyzel-datamaskinene som blir angrepet av nettkriminelle er de fra USG / ZyWALL-serien, USG FLEX, ATP, og også alle de som inneholder VPN-er som bruker ZLD-firmware. I emalje at Zyzel har sendt det har blitt indikert at angrepene retter seg mot enheter som er utsatt for Internett, logisk sett, alle disse enhetene som brannmur eller VPN er alltid utsatt for Internett for å beskytte det interne nettverket mot eksterne angrep.

Zyxels brannmurer er hacket

Denne typen enhet er "gateway" for å få tilgang til det interne nettverket etter autentisering mot VPN server eller servere som vi har konfigurert, på denne måten kan en ekstern bruker få tilgang til selskapets interne nettverk hvis den kobles via VPN til Zyxel-brannmuren. En god sikkerhetspraksis er bare å eksponere VPN-porten for Internett, slik at bare innkommende tilkoblinger tidligere er autentisert med et brukernavn / passord eller direkte med et digitalt sertifikat. I denne typen enheter er det veldig viktig å aldri eksponere administrasjonswebporten, fordi den kan være sårbar for XSS-angrep eller lignende.

Hvordan Zyxel-lagene angriper

Angripere prøver å omgå datamaskinautentisering og etablere SSL VPN-tunneler med ukjente brukerkontoer, for eksempel ved hjelp av kontoer som “zyxel_silvpn”, “zyxel_ts” eller “zyxel_vpn_test” for å manipulere enhetsinnstillinger. Zyxel undersøker disse angrepene for å avgjøre om det skyldes en allerede kjent og uløst sårbarhet, eller imidlertid på grunn av en ny sårbarhet som ikke var kjent før nå. Produsenten vet foreløpig ikke hvor mange klienter som er berørt, fordi det ser ut til at bare kunder med det offentlig tilgjengelige administrasjonsnettstedet er berørt. De vet heller ikke den dag i dag om de lykkes med å kompromittere kundenheter eller bare prøver å gjøre det uansett.

Zyxel utvikler for tiden en firmwareoppdatering med all sikkerhetspraksis for å forbedre administrasjonssikkerheten via nettet, med sikte på å redusere angrepsoverflaten.

Zyxel sikkerhetsanbefalinger

Produsenten har gitt ut en serie med grunnleggende anbefalinger for å beskytte enhetene dine best mulig, men disse anbefalingene gjelder også for alt utstyr med lignende egenskaper. De generiske tipsene er å konfigurere enhetene med lavest mulig privilegier, lappe enhetene med de nyeste firmwareversjonene, bruke tofaktorautentisering når det er mulig, og også være veldig forsiktige med phishing-angrep i det profesjonelle lokale nettverket.

Selvfølgelig er det viktig å avsløre det minste antall porter som mulig, for eksempel hvis ekstern tilgang ikke er nødvendig, bør vi ikke ha noen åpne porter og ha en policy om å nekte kommunikasjon. I nyere tid, med ransomware-angrep på en rekke enheter, brannmurer og muligheten til ekstern tilgang til lokale ressurser via VPN, er nettkriminelle nå målrettet mot denne typen enheter som normalt plasseres i omkretsen av nettverket for å beskytte det interne nettverket mot uønsket trafikk. Vi må huske at de siste årene har det vært flere sårbarheter i Fortigate SSL VPN, Pulse Secure SSL VPN og andre som SonicWall.