网络设备制造商Zyxel是有效和持续攻击的警告客户,这些客户是针对公司的防火墙和其他类型的安全设备的范围。
在电子邮件中,该公司表示,目标设备包括具有启用远程管理或SSL VPN的安全设备,即在USG / ZyWall,USG Flex,ATP和VPN系列上运行的ZLD固件运行。电子邮件中的语言是简洁的,但似乎可以说攻击被暴露于互联网的目标设备。当攻击者成功访问设备时,电子邮件进一步似乎可以说,它们可以连接到先前未知的帐户硬连线到设备中。
封好舱口
“我们意识到这种情况,并一直在努力调查和解决它,”电子邮件是发布到推特, 说。“威胁演员尝试通过WAN访问设备;如果成功,他们然后绕过身份验证并建立具有未知用户帐户的SSL VPN隧道,例如“Zyxel_Silvpn,”zyxel_ts,“或”zyxel_vpn_test“,以操纵设备的配置。”
如果攻击的弱点是新的或以前已知的,则仍然不清楚。同样不清楚是有多少客户受到攻击,他们的地理故障是什么,以及攻击成功损害客户设备或只是试图这样做。
在随后发布的一份声明中,Zyxel的官员写道:
最初从欧洲用户报告,Zyxel意识到一种复杂的威胁演员,试图通过WAN访问Zyxel安全设备的子集,以便绕过身份验证并建立具有未知用户帐户的SSL VPN隧道。Zyxel目前正在评估攻击向量,以确定这是否是已知的或未知的漏洞。
Zyxel开发了指导,使用户能够暂时缓解安全事件和控制威胁。向USG/ZyWALL、USG FLEX、ATP或VPN系列设备的所有注册用户发送SOP。Zyxel正在开发一个固件更新,以解决在SOP中描述的用户界面安全实践,以减少攻击面。
此时受影响的客户的数量是未知的,因为似乎被剥削的设备具有可公开访问的Web管理,并且不会被锁定。
基于到目前为止可用的模糊细节,漏洞听起来让人想起CVE-2020-29583,它源于具有使用硬编码密码的完整行政系统权限的无证账户,这些账户源于使用硬编码密码“镜头!an_fxp”。当Zyxel.修复了漏洞但是,1月份,该帐户被列为“ZYFWP”,该名称不会出现在本周向客户发送给客户的电子邮件Zyxel中。
在任何情况下,所述电子邮件表示,客户保护他们的Zyxel设备的最佳方式是遵循发布的指南这里。该指南包含通用建议,例如使用最低特权可能,修补设备,使用双因素身份验证以及遗骸的网络钓鱼攻击威胁。
该电子邮件作为防火墙,VPN和用于保护网络的其他设备被出现为黑客推动Ransomware或间谍活动攻击的密钥矢量。设备通常位于网络周边,以过滤或阻止移动到组织或脱离组织的流量。突破后,这些设备通常会使攻击者能够枢转到内部网络。
在过去几年中,FortiGate SSL VPN和竞争脉冲安全SSL VPN中的漏洞有来在下面攻击。设备从SonicWall.也受到了安全漏洞的威胁。这些威胁表明,如果不小心锁定网络,安全设备实际上会使网络变得不那么安全。
你必须登录或创建一个帐户评论。