Zyxel努力阻止针对客户防火墙和vpn的活跃黑客攻击
- 线程启动JournalBot
- 开始日期
“…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”
如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
Upvote
149(149/0)
为什么任何网络盒子小部件供应商比那些在易趣网上卖10美元神秘路由器的人更严肃可能还在容忍固件中硬编码凭证的存在吗?
如果你担心锁定和销售太便宜/太多,以保持每个设备唯一的密钥;一个好的老式物理复位开关是显而易见的解决方案。
如果你做了某种“管理”/“企业供应商监控”/等等。您可以并且应该能够维护与哪个序列号匹配的私钥的记录;因此,您的固定服务帐户至少有唯一的和功能上无法猜到的凭据;不能仅通过转储设备来提取(因为需要的只是相应的公钥,而不是明文或散列密码)。
我对Zyxel的印象是,他们更偏向于“价值”一端;但这并不能改变一个事实,那就是这两者中至少有一个应该适用于他们阵容中的任何东西。
如果你担心锁定和销售太便宜/太多,以保持每个设备唯一的密钥;一个好的老式物理复位开关是显而易见的解决方案。
如果你做了某种“管理”/“企业供应商监控”/等等。您可以并且应该能够维护与哪个序列号匹配的私钥的记录;因此,您的固定服务帐户至少有唯一的和功能上无法猜到的凭据;不能仅通过转储设备来提取(因为需要的只是相应的公钥,而不是明文或散列密码)。
我对Zyxel的印象是,他们更偏向于“价值”一端;但这并不能改变一个事实,那就是这两者中至少有一个应该适用于他们阵容中的任何东西。
Upvote
67(67/0)
Upvote
-1(4/5)
仅仅因为路由器有一个“启用VPN”按钮,这并不意味着使用它是一个好主意。
很久以前是一个商业企业软件开发人员。我们的一个客户在他们的合同中要求所有的后门都要记录在案,所以我审计了我们的代码,删除了所有的后门,只留下一个。1仍然需要使用密钥,并且必须将密钥放在服务器(而不是客户机)上。它主要是为预售提供一种方法,可以轻松地为最多3个客户提供30天的许可密钥,而无需通过我们的网络许可管理系统生成密钥。
因此,即使是我们的后门也需要潜在客户在服务器上做一些事情,而且一次只能启用30天。
这东西不难。只是需要优先考虑。输掉一场500万美元的官司会让它成为优先事项。
更新:s/client/potential customer/
很久以前是一个商业企业软件开发人员。我们的一个客户在他们的合同中要求所有的后门都要记录在案,所以我审计了我们的代码,删除了所有的后门,只留下一个。1仍然需要使用密钥,并且必须将密钥放在服务器(而不是客户机)上。它主要是为预售提供一种方法,可以轻松地为最多3个客户提供30天的许可密钥,而无需通过我们的网络许可管理系统生成密钥。
因此,即使是我们的后门也需要潜在客户在服务器上做一些事情,而且一次只能启用30天。
这东西不难。只是需要优先考虑。输掉一场500万美元的官司会让它成为优先事项。
更新:s/client/potential customer/
Upvote
11(11/0)
最后一段很有误导性,因为它把Fortinet列在Pulse Secure之前,好像Fortinet的问题比Pulse的问题更大。
Pulse Secure已经多次被渗透,即使是在他们最新的版本中,真正的零日披露,所以呼吁他们是值得的,但Fortinet的唯一问题是没有更新超过6个月的操作系统版本(以及那些没有阅读发布说明的人)。
我在过去安装了许多Juniper SA & MAG,但由于反复出现零日和高度宣传的渗透,他们的使用是黑帽的方式,看到一个仍然在使用已经变得很少了。
但《Fortinets》却不是这样。不更新你的网络安全设备就像把你的电脑放在某个公共地方,把登录名/密码贴在底部:如果你这样做,就不会有隐私可言。在我的记忆中,福蒂内还没有过真正的零日。那么为什么要假装不是这样呢?
Pulse Secure已经多次被渗透,即使是在他们最新的版本中,真正的零日披露,所以呼吁他们是值得的,但Fortinet的唯一问题是没有更新超过6个月的操作系统版本(以及那些没有阅读发布说明的人)。
我在过去安装了许多Juniper SA & MAG,但由于反复出现零日和高度宣传的渗透,他们的使用是黑帽的方式,看到一个仍然在使用已经变得很少了。
但《Fortinets》却不是这样。不更新你的网络安全设备就像把你的电脑放在某个公共地方,把登录名/密码贴在底部:如果你这样做,就不会有隐私可言。在我的记忆中,福蒂内还没有过真正的零日。那么为什么要假装不是这样呢?
Upvote
6(6/0)
但是你已经把它们连接到的网络(即使它不是互联网),而且你真的很愚蠢地关心网络安全,然后去购买廉价的消费级网络产品。对于那些受影响的产品,这是他们的主要用例,所以这是一个不必要的声明。
将网络的一部分与其他部分隔离是一回事,但它仍然是一个网络。
至于稳定性部分,您工作的环境中有很多网络管理员彼此之间不能正常通信吗?上次我在一个足够大的网络环境中工作时,我们总是知道当我们对网络拓扑进行更改时会发生什么。简单的服务器更改永远不会给网络带来稳定性问题。这听起来像是某人没有完全控制他们管理的网络和/或有干扰的相邻网络。但我很好奇你的意思,考虑到这是在一个更简单的时代,袭击更少,所以我承认事情在改变。
Upvote
5(5/0)
