Популярный производитель сетевых устройств Zyxel выпустил рекомендации по безопасности, в которых говорится, что киберпреступники проводят атаки на его брандмауэры и VPN с целью взлома системы безопасности компьютеров и попытки проникновения в локальную сеть компании. Компания указала, что на целевых устройствах включено удаленное управление через SSL / TLS, а также VPN включено. Вы хотите знать все устройства Zyzel, которые атакуют, чтобы защитить себя?
Команды Zyxel, пострадавшие от этих атак
Киберпреступники атакуют компьютеры Zyzel из серии USG / ZyWALL, USG FLEX, ATP, а также все те, которые включают в себя VPN, использующие прошивку ZLD. в e-mail что Zyzel отправил, было указано, что атаки нацелены на устройства, которые доступны в Интернете, логично, все эти устройства, такие как брандмауэр или VPN всегда доступны в Интернете, чтобы защитить внутреннюю сеть от внешних атак.
Этот тип устройства является «шлюзом» для доступа к внутренней сети после аутентификации против VPN сервер или серверы, которые мы настроили таким образом, удаленный пользователь может получить доступ к внутренней сети компании, если он подключается через VPN к межсетевому экрану Zyxel. Хорошая практика безопасности заключается в том, чтобы открыть порт VPN только для Интернета, чтобы только входящие соединения предварительно аутентифицировались с помощью имени пользователя / пароля или напрямую с помощью цифрового сертификата. В устройствах этого типа очень важно никогда не открывать административный веб-порт, поскольку он может быть уязвим для XSS-атак и т.п.
Как атакуют команды Zyxel
Злоумышленники пытаются обойти компьютерную аутентификацию и установить туннели SSL VPN с неизвестными учетными записями пользователей, например, используя такие учетные записи, как «zyxel_silvpn», «zyxel_ts» или «zyxel_vpn_test» для управления настройками устройства. Zyxel исследует эти атаки, чтобы определить, вызваны ли они уже известной и нерешенной уязвимостью, или, однако, новой уязвимостью, которая не была известна до сих пор. На данный момент производитель не знает, сколько клиентов затронуто, потому что похоже, что затронуты только клиенты с общедоступным веб-сайтом администрирования. Они также до сих пор не знают, могут ли они успешно взломать устройства клиентов или все равно просто пытаются это сделать.
Zyxel в настоящее время разрабатывает обновление прошивки со всеми методами обеспечения безопасности, чтобы повысить безопасность администрирования через Интернет с целью уменьшения поверхности атаки.
Рекомендации Zyxel по безопасности
Производитель выпустил ряд базовых рекомендаций для максимальной защиты ваших устройств, однако эти рекомендации также действительны для любого оборудования со схожими характеристиками. Общие советы состоят в том, чтобы настроить устройства с минимально возможными привилегиями, установить на устройства последние версии прошивки, по возможности использовать двухфакторную аутентификацию, а также быть очень осторожными в отношении фишинговых атак в профессиональной локальной сети.
Конечно, важно предоставить минимально возможное количество портов, например, если удаленный доступ не требуется, тогда у нас не должно быть открытых портов и иметь политику запрета любой связи. В последнее время, благодаря атакам программ-вымогателей на множество устройств, брандмауэрам и возможности удаленного доступа к локальным ресурсам через VPN, киберпреступники теперь специально нацелены на эти типы устройств, которые обычно размещаются по периметру сети для защиты внутренней сети от незапрашиваемый трафик. Мы должны помнить, что в последние годы было обнаружено множество уязвимостей в Fortigate SSL VPN, Pulse Secure SSL VPN и других, таких как SonicWall.
