Popularul producător de dispozitive de rețea Zyxel a lansat un aviz de securitate care precizează că infractorii cibernetici efectuează atacuri împotriva firewall-urilor și VPN-urilor sale, cu scopul de a sparge securitatea computerelor și de a încerca să pătrundă în rețeaua locală a companiei. Compania a indicat faptul că dispozitivele țintă au activată gestionarea de la distanță prin SSL / TLS și, de asemenea VPN activat. Doriți să cunoașteți toate dispozitivele Zyzel care atacă pentru a vă proteja?
Echipe Zyxel afectate de aceste atacuri
Computerele Zyzel care sunt atacate de infractorii cibernetici sunt cele din seria USG / ZyWALL, USG FLEX, ATP și, de asemenea, toate cele care încorporează VPN-uri care utilizează firmware-ul ZLD. În e-mail pe care Zyzel l-a trimis a fost indicat că atacurile vizează dispozitivele care sunt expuse la Internet, în mod logic, toate aceste dispozitive precum firewall sau VPN sunt întotdeauna expuse la Internet pentru a proteja rețeaua internă de atacuri externe.
Acest tip de dispozitiv este „gateway-ul” pentru a accesa rețeaua internă după autentificare împotriva VPN server sau servere pe care le-am configurat, în acest fel, un utilizator la distanță poate accesa rețeaua internă a companiei dacă se conectează prin VPN la firewall-ul Zyxel. O bună practică de securitate este doar expunerea portului VPN la Internet, astfel încât numai conexiunile primite să fie autentificate anterior cu un nume de utilizator / parolă sau direct cu un certificat digital. În acest tip de dispozitiv este foarte important să nu expuneți niciodată portul web de administrare, deoarece ar putea fi vulnerabil la atacuri XSS sau altele asemenea.
Cum atacă echipele Zyxel
Atacatorii încearcă să ocolească autentificarea computerului și să stabilească tuneluri SSL VPN cu conturi de utilizator necunoscute, de exemplu folosind conturi precum „zyxel_silvpn”, „zyxel_ts” sau „zyxel_vpn_test” pentru a manipula setările dispozitivului. Zyxel investighează aceste atacuri pentru a determina dacă se datorează unei vulnerabilități deja cunoscute și nerezolvate sau, cu toate acestea, se datorează unei noi vulnerabilități care nu era cunoscută până acum. Producătorul nu știe în acest moment câți clienți sunt afectați, deoarece se pare că sunt afectați doar clienții cu site-ul de administrare accesibil publicului. De asemenea, nu știu până astăzi dacă pot compromite cu succes dispozitivele clienților sau pur și simplu încearcă să facă acest lucru oricum.
Zyxel dezvoltă în prezent o actualizare firmware cu toate practicile de securitate pentru a îmbunătăți securitatea administrării prin web, cu scopul de a reduce suprafața de atac.
Recomandări de siguranță Zyxel
Producătorul a lansat o serie de recomandări de bază pentru a vă proteja cât mai bine dispozitivele, cu toate acestea, aceste recomandări sunt valabile și pentru orice echipament cu caracteristici similare. Sfaturile generice sunt să configurați dispozitivele cu cele mai mici privilegii posibile, să remediați dispozitivele cu cele mai recente versiuni de firmware, să utilizați autentificarea cu doi factori ori de câte ori este posibil și să fiți foarte atenți la atacurile de phishing din rețeaua locală profesională.
Desigur, este esențial să expunem numărul minim de porturi posibil, de exemplu, dacă nu este nevoie de acces la distanță, atunci nu ar trebui să avem porturi deschise și să avem o politică de a refuza orice comunicare. În ultima perioadă, cu atacuri ransomware asupra unei multitudini de dispozitive, firewall-uri și posibilitatea de a accesa de la distanță resursele locale prin VPN, infractorii cibernetici vizează acum în mod specific aceste tipuri de dispozitive care sunt plasate în mod normal în perimetrul rețelei pentru a proteja rețeaua internă de trafic nesolicitat. Trebuie să ne amintim că în ultimii ani au existat multiple vulnerabilități în Fortigate SSL VPN, Pulse Secure SSL VPN și altele precum SonicWall.
