这在加州是违法的,而且会受到惩罚。“…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”
如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
这一直是我对Zylex(以及类似品牌)的担忧。它们通常是一个非常划算的解决方案,但你没有背后的大名字来证明这个解决方案。所以当事情变糟的时候(即使在思科的世界里也会发生),把它放在合适的位置的管理人员就会受到指责。希望他们在那一刻已经向前看了。
我记得Zyxel还是高端品牌的时候。当然,这是在2400波特的MNP10调制解调器还是高端的时候,所以已经有一段时间了……
第三方无法对闭源网络边缘设备进行安全漏洞审计,这并不奇怪。什么是令人惊讶的是,任何有安全意识的人都在使用它们,尤其是考虑到它们糟糕的记录。它与使用专有/未发布的加密密码一样有意义。
我知道很好的开源交钥匙防火墙解决方案,如OPNsense。但是,如果我们谈论的是企业级VPN设备类型的设置,那么等效的是什么呢?Zyxel、Pulse Secure等都是众所周知的热门产品,但我还没有看到太多提到有开源软件可以在使用它们的组织中取代它们。
(显然,它不只是Wireguard之类的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)
第三方无法对闭源网络边缘设备进行安全漏洞审计,这并不奇怪。什么是令人惊讶的是,任何有安全意识的人都在使用它们,尤其是考虑到它们糟糕的记录。它与使用专有/未发布的加密密码一样有意义。
我知道很好的开源交钥匙防火墙解决方案,如OPNsense。但是,如果我们谈论的是企业级VPN设备类型的设置,那么等效的是什么呢?Zyxel、Pulse Secure等都是众所周知的热门产品,但我还没有看到太多提到有开源软件可以在使用它们的组织中取代它们。
(显然,它不只是Wireguard之类的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)
有意思,我之前没听说过Vyatta/VyOS。OPNsense和PFsense都有商业产品,而VyOS在商业方面更进一步,尽管它们确实有一个社区发行版。总之,我曾经在业务环境中成功地使用过Vyatta,它是VyOS的前身。
有一个开源的、功能完整的替代品是一回事;让组织使用它是另一回事!其中80%是“如果我明天被提升为CSO,我会安装什么”,20%是“下次我们的专用VPN网关出现安全问题时,我会不经意地向我的CSO提及的事情”。我是作为一个开源的狂热爱好者说这句话的,但不幸的是,我的大多数企业客户都不会接触开源产品,除非它有Red Hat或Canonical之类的支持。从连续性的角度来看,我可以理解为什么……我的意思是,即使是红帽公司的世界,看看最近的CentOS崩溃。
当然也有例外,但它们往往是不太复杂的开源计划,而不是完全依赖安全设备。
我希望看到这种改变,不要误解我的意思。
*编辑*更具体地说,他们希望保证项目不只是失败,虽然这不是开源独有的性质,但它往往更经常发生。
假设这是真的。政府成功地迫使公司安装了这个后门。有一点可能是政府下令的。
/戴上锡纸帽
鉴于这告诉我们政府有多么强大,他们为什么会选择允许这个故事被发表?
这在加州是违法的,而且会受到惩罚。“…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”
如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
但其他司法管辖区的情况就不确定了。
这已经不是Zyxel第一次出现在这样的新闻中了。我对Us Robotics和Zyxel的日子记忆犹新。
我10多年前就抛弃了任何硬件防火墙,拒绝在路由器/接入点中使用任何防火墙,更不用说你的电缆或adsl调制解调器了。
Pfsense为我的家庭或小型企业提供了诀窍。你的机架上任何退役的服务器都可以,如果cpu有AES-NI,你也可以进行vpn连接。我在最低的pc引擎设备上运行它(不幸的是,这些设备在2021年底之前都缺货)。目前,我在我的家庭实验室Esxi的虚拟机中运行pfsense。
但是你已经把它们连接到的网络(即使它不是互联网),而且你真的很愚蠢地关心网络安全,然后去购买廉价的消费级网络产品。对于那些受影响的产品,这是他们的主要用例,所以这是一个不必要的声明。