O popular fabricante de dispositivos de rede Zyxel divulgou um comunicado de segurança informando que os cibercriminosos estão realizando ataques em seus firewalls e VPNs, com o objetivo de romper a segurança dos computadores e tentar penetrar na rede local da empresa. A empresa indicou que os dispositivos de destino têm gerenciamento remoto habilitado via SSL / TLS e também VPN ativado. Você quer saber todos os dispositivos Zyzel que estão atacando para se proteger?
Equipes Zyxel afetadas por esses ataques
Os computadores Zyzel que estão sendo atacados por cibercriminosos são os da série USG / ZyWALL, USG FLEX, ATP e também todos aqueles que incorporam VPNs que utilizam o firmware ZLD. No email que Zyzel enviou foi indicado que os ataques visam dispositivos que estão expostos à Internet, logicamente, todos esses dispositivos, como firewall ou VPNs estão sempre expostos à Internet para proteger a rede interna de ataques externos.
Este tipo de dispositivo é o “gateway” para acessar a rede interna após autenticação no VPN servidor ou servidores que configuramos, desta forma, um usuário remoto pode acessar a rede interna da empresa se conectar via VPN ao firewall Zyxel. Uma boa prática de segurança é expor apenas a porta VPN à Internet, de modo que apenas as conexões de entrada sejam autenticadas previamente com um nome de usuário / senha ou diretamente com um certificado digital. Nesse tipo de dispositivo, é muito importante nunca expor a porta da Web de administração, pois ela pode estar vulnerável a ataques XSS ou semelhantes.
Como as equipes Zyxel estão atacando
Os invasores estão tentando ignorar a autenticação do computador e estabelecer túneis VPN SSL com contas de usuário desconhecidas, por exemplo, usando contas como “zyxel_silvpn”, “zyxel_ts” ou “zyxel_vpn_test” para manipular as configurações do dispositivo. Zyxel está investigando esses ataques para determinar se é devido a uma vulnerabilidade já conhecida e não resolvida ou, no entanto, é devido a uma nova vulnerabilidade que não era conhecida até agora. O fabricante não sabe no momento quantos clientes são afetados, porque parece que apenas os clientes com o site de administração acessível ao público são afetados. Eles também não sabem até hoje se podem comprometer com sucesso os dispositivos dos clientes ou estão apenas tentando fazer isso de qualquer maneira.
A Zyxel está atualmente desenvolvendo uma atualização de firmware com todas as práticas de segurança a fim de melhorar a segurança da administração via web, com o objetivo de reduzir a superfície de ataque.
Recomendações de segurança Zyxel
O fabricante lançou uma série de recomendações básicas para proteger seus dispositivos da melhor forma possível, porém, essas recomendações também são válidas para qualquer equipamento com características semelhantes. As dicas genéricas são configurar os dispositivos com os privilégios mais baixos possíveis, corrigir os dispositivos com as versões de firmware mais recentes, usar autenticação de dois fatores sempre que possível e também ter muito cuidado com ataques de phishing dentro da rede local profissional.
Claro, é essencial expor o número mínimo de portas possível, por exemplo, se o acesso remoto não for necessário, então não devemos ter portas abertas e ter uma política de negar qualquer comunicação. Nos últimos tempos, com ataques de ransomware em uma infinidade de dispositivos, firewalls e a capacidade de acessar remotamente recursos locais via VPN, os cibercriminosos agora estão visando especificamente esses tipos de dispositivos que normalmente são colocados no perímetro da rede para proteger a rede interna de tráfego não solicitado. Devemos lembrar que nos últimos anos houve múltiplas vulnerabilidades no Fortigate SSL VPN, Pulse Secure SSL VPN e outros como o SonicWall.
