网络设备制造商Zyxel警告客户,该公司的一系列防火墙和其他类型的安全设备受到了持续不断的攻击。
在一封电子邮件中,该公司表示,目标设备包括启用远程管理或SSL VPN的安全设备,即在USG/ZyWALL、USG FLEX、ATP和VPN系列中运行本地ZLD固件。邮件中的措辞很简洁,但似乎表明攻击的目标是暴露在互联网上的设备。这封电子邮件进一步表示,当攻击者成功访问设备时,他们就能连接到设备中硬连接的此前未知的账户。
把舱口封好
“我们意识到了这种情况,并一直在尽最大努力进行调查和解决,”邮件中写道发布到微博说。“威胁行为者试图通过广域网访问设备;如果成功,他们就会绕过身份验证,用未知的用户账号(如zyxel_silvpn、zyxel_ts或zyxel_vpn_test)建立SSL VPN隧道,从而操纵设备的配置。”
目前还不清楚受到攻击的弱点是新的还是以前已知的。同样不清楚的是,有多少用户受到了攻击,他们的地理分布是怎样的,攻击是否成功地损害了用户的设备,或者只是试图这样做。
在随后发布的一份声明中,Zyxel官员写道:
Zyxel最初从欧洲的用户那里得到报告,发现一个复杂的威胁行为者试图通过WAN访问Zyxel安全设备的子集,以绕过身份验证,并使用未知的用户帐户建立SSL VPN隧道。Zyxel目前正在评估攻击向量,以确定这是一个已知的还是未知的漏洞。
Zyxel已经制定了指导方针,使用户能够暂时减轻安全事件并控制威胁。发送SOP给USG/ZyWALL、USG FLEX、ATP或VPN系列设备的所有注册用户。Zyxel正在开发一个固件更新,以解决SOP中所述的用户界面安全实践,以减少攻击面。
受影响客户的数量目前还不清楚,因为似乎被利用的设备的web管理是公开可访问的,而且没有被锁定。
根据目前已知的模糊细节,这个漏洞听起来让人想起cve - 2020 - 29583,这源于一个具有完整管理系统权限的无证帐户,该帐户使用硬编码密码“PrOw!aN_fXp。”当合勤科技固定的漏洞然而,今年1月,该账户被列为“zyfwp”,这个名字并没有出现在Zyxel本周发给客户的电子邮件中。
无论如何,这封邮件表示,客户保护Zyxel设备的最佳方式是遵循公布的指导方针在这里.这些指南包含一些通用建议,比如尽可能使用最低权限配置设备、为设备打补丁、使用双因素身份验证以及警惕钓鱼攻击。
电子邮件的出现正值防火墙、vpn和其他用于保护网络安全的设备成为黑客发起勒索软件或间谍攻击的关键载体之际。这些设备通常位于网络外围,用于过滤或阻塞进出组织的流量。一旦被攻破,这些设备通常会让攻击者有能力转向内部网络。
在过去的几年里,强化SSL VPN和竞争的脉冲安全SSL VPN的漏洞有来下攻击.设备从Sonicwall也通过安全漏洞被破坏。这些威胁表明,如果不小心锁定网络,安全设备实际上会使网络变得不安全。
54岁的读者评论
如果事实证明Zyxel仍然在运送带有后门账户的设备,他们应该承担损害赔偿责任,其他任何在2021年做出这种愚蠢行为的供应商也应该承担责任。我甚至想说,对于这种糟糕的行为应该有法定赔偿——大约是设备最初零售价的10倍,以起到威慑作用。
如果你担心锁住和销售太便宜/太多的数量,以保持唯一的每台设备的键;一个好的老式物理复位开关是显而易见的解决方案。
如果你做了一些'managed'/'enterprise vendor monitoring'/等等。您可以而且应该能够保存一项记录,记录哪一个私钥与哪一个序列号匹配;让你的固定服务账户至少拥有独一无二的、功能上不可猜测的凭证;不能仅仅通过转储设备来提取(因为所有需要存在的是相应的公钥,而不是明文或散列密码)。
我(也许不公平)对Zyxel的印象是,他们更接近于“价值”这一端;但这并不能改变一个事实,那就是这两种情况中至少有一种应该适用于他们的阵容。
如果事实证明Zyxel仍然在运送带有后门账户的设备,他们应该承担损害赔偿责任,其他任何在2021年做出这种愚蠢行为的供应商也应该承担责任。我甚至想说,对于这种糟糕的行为应该有法定赔偿——大约是设备最初零售价的10倍,以起到威慑作用。
这在加州是违法的,而且会受到处罚。
但不确定其他司法管辖区的情况。
当它们在装船前没有被移除时,问题就来了。有绝对没有理由使用这些测试帐户来运输产品。构建过程很容易确保所有这些帐户都是已知的,一旦不再需要它们就会删除,并通过测试验证它们在真实设备上不起作用。这个问题已经被发现太久了。这是极其无能的。
在一个公认公平的消费者产品法的世界,这将导致Zyxel不得不支付一定比例的保险索赔,使我的消费者被违反。
收缩包装软件法则需要消亡。随着攻击者变得越来越高级,用户将继续以越来越快的速度燃烧。
有一点可能是政府强制的。
/锡箔帽子
是的,有一个硬编码的凭证。但它不能从向外的界面进入。所以威胁来自内部不是我们的错。
我记得类似的事情发生在消费者路由器上。
我还记得Zyxel还是高端品牌的时候。当然,这是在2400波特率的MNP10调制解调器还是高端产品的时候,所以已经有一段时间了…
我还记得Zyxel还是高端品牌的时候。当然,这是在2400波特率的MNP10调制解调器还是高端产品的时候,所以已经有一段时间了…
哈!我不记得我为什么会知道这个名字,但你说得对……我在90年代有一个难看的米黄色调制解调器,那是Zyxel……
我知道像OPNsense这样优秀的开放源码防火墙解决方案。但是,如果我们讨论的是企业级VPN设备类型的设置,那么什么是等价的呢?Zyxel、Pulse Secure等都是众所周知的大麻烦,但我还没看到有什么开源软件能在使用它们的组织中取代它们。
(显然,它必须比“仅仅”Wireguard或类似的东西更重要,因为它必须与认证/2FA系统集成,钩子到IDS,提供管理UI等。)
我知道像OPNsense这样优秀的开放源码防火墙解决方案。但是,如果我们讨论的是企业级VPN设备类型的设置,那么什么是等价的呢?Zyxel、Pulse Secure等都是众所周知的大麻烦,但我还没看到有什么开源软件能在使用它们的组织中取代它们。
(显然,它必须比“仅仅”Wireguard或类似的东西更重要,因为它必须与认证/2FA系统集成,钩子到IDS,提供管理UI等。)
OPNsense和PFsense都有商业产品,而VyOS在商业方面走得更远,尽管它们有社区发行。顺便说一下,我曾经在商业环境中使用Vyatta, VyOS的前身,并取得了成功。
我知道像OPNsense这样优秀的开放源码防火墙解决方案。但是,如果我们讨论的是企业级VPN设备类型的设置,那么什么是等价的呢?Zyxel、Pulse Secure等都是众所周知的大麻烦,但我还没看到有什么开源软件能在使用它们的组织中取代它们。
(显然,它必须比“仅仅”Wireguard或类似的东西更重要,因为它必须与认证/2FA系统集成,钩子到IDS,提供管理UI等。)
我是作为一个开源的超级粉丝这么说的,但不幸的是,我的大多数企业客户都不会接触开源产品,除非它得到了Red Hat或Canonical之类的东西的支持。从连续性的角度来看,我可以理解为什么……我的意思是,即使是世界上的红帽子,看看最近CentOS的崩溃。
当然也有例外,但它们往往是不那么复杂的开源项目,不完全依赖于安全设备。
我很想看到这种改变,别误会我的意思。
*编辑*更具体地说,他们希望一个项目不只是失败的保证,虽然这不是开源的独有性质,但它往往更经常发生。
有意思,我之前没听说过Vyatta/VyOS。
{OPN,PF}sense和VyOS似乎都标榜自己是无所不能的安全产品,至少前两者在家庭网络的讨论中经常被提及。他们提供的vpn网关功能与Pulse Secure这样的东西在功能上是一样的吗?我的印象是,会有一个单独的/专用的OSS项目。
当然也有例外,但它们往往是不那么复杂的开源项目,不完全依赖于安全设备。
我很想看到这种改变,别误会我的意思。
*编辑*更具体地说,他们希望一个项目不只是失败的保证,虽然这不是开源的独有性质,但它往往更经常发生。
拥有一个开源的、功能齐全的替代品是一回事;让组织使用它是另一回事!80%是“如果我明天被提升为CSO,我将订购安装什么”,20%是“下次我们的私有VPN网关出现安全问题时,我将随口向CSO提及的事情。”
/锡箔帽子
假设这是真的。政府成功地迫使公司安装了这个后门。
考虑到这告诉我们政府必须是多么强大,为什么他们会选择允许这个故事被发布?
/锡箔帽子
假设这是真的。政府成功地迫使公司安装了这个后门。
考虑到这告诉我们政府必须是多么强大,为什么他们会选择允许这个故事被发布?
你看到最后戴着锡纸帽了吗?
很久以前是一个商业企业软件开发人员。我们的一个客户在他们的合同中规定所有的后门都要被记录下来,所以我审计了我们的代码并删除了所有的后门,只留下一个。1仍然需要使用一个密钥,并且密钥必须放置在服务器(而不是客户机)上。它主要是为预售提供一种方法,可以为最多3个客户轻松提供30天的许可密钥,而无需通过我们的网络许可管理系统生成密钥。
因此,即使我们的后门也需要潜在客户在服务器上做一些事情,而且每次只能启用30天。
这个东西并不难。只是需要优先考虑。如果输掉一场500万美元的官司,它将成为优先考虑的事项。
更新:s /客户/潜在客户
最后一次编辑TheFu2021年6月24日星期四晚上9:31
如果事实证明Zyxel仍然在运送带有后门账户的设备,他们应该承担损害赔偿责任,其他任何在2021年做出这种愚蠢行为的供应商也应该承担责任。我甚至想说,对于这种糟糕的行为应该有法定赔偿——大约是设备最初零售价的10倍,以起到威慑作用。
这在加州是违法的,而且会受到处罚。
但不确定其他司法管辖区的情况。
在加州,如果不告知用户每9999999999名手机用户中就有一人被诊断出患有癌症,就会受到惩罚,所以不确定这项保护措施是否会被其他州效仿。
读到这句话,我有两个问题:
1)我很想知道网络黑客是如何瞄准那些不暴露在互联网上的设备的。
2)谁购买了防火墙或网络安全产品,但没有连接到网络?
把这话告诉伊朗人吧……
读到这句话,我有两个问题:
1)我很想知道网络黑客是如何瞄准那些不暴露在互联网上的设备的。
2)谁购买了防火墙或网络安全产品,但没有连接到网络?
再保险:2。那些重视网络稳定和安全的人。我去过那里,有一个完整的实验室设备作为测试设备/备件。是的,它很贵,但它意味着当您对1)服务器、2)工作站、3)交换机、4)防火墙进行更改时,您不必猜测会发生什么。
把这话告诉伊朗人吧……
如果你是以色列情报机构的目标,你可能也需要把这些USB端口粘起来
我想指出的是,即使你不再订阅他们的安全服务,他们至少也会提供固件更新。如果同样的问题发生在他们的一些竞争对手的产品,如Watchguard,许多人甚至没有办法安装更新的固件。
我在10多年前就抛弃了任何硬件防火墙,并且拒绝在路由器/接入点使用任何防火墙,更不用说你的电缆或adsl调制解调器了。
Pfsense对我来说适用于家庭或小企业。您的机架中任何退役的服务器都可以,如果cpu有AES-NI,您也可以用于vpn连接。我在低到pc引擎设备上运行过它(不幸的是,2021年底之前库存都没有)。目前,我在我的家庭实验室Esxi上的一个VM中运行pfsense。
Pulse Secure已经多次被渗透,甚至在他们最新的版本中也有真正的零日披露,所以把他们叫出来是值得的,但Fortinet唯一的问题是超过6个月没有更新的操作系统版本(&人们没有阅读发布说明)。
我在过去安装了许多Juniper SA和MAG,但随着它们被反复使用的零日攻击和高度曝光的入侵,看到它们仍然在使用已经变得很少见了。
但Fortinets却不是这样。不更新你的网络安全设备就像把你的电脑放在一个公共的地方,把登录名/密码贴在底部:如果你这样做,就没有隐私预期。在我的记忆中,福蒂奈从来没有过真正的零日。所以为什么要假装不是呢?
我在10多年前就抛弃了任何硬件防火墙,并且拒绝在路由器/接入点使用任何防火墙,更不用说你的电缆或adsl调制解调器了。
Pfsense对我来说适用于家庭或小企业。您的机架中任何退役的服务器都可以,如果cpu有AES-NI,您也可以用于vpn连接。我在低到pc引擎设备上运行过它(不幸的是,2021年底之前库存都没有)。目前,我在我的家庭实验室Esxi上的一个VM中运行pfsense。
我还没有在任何企业环境中看到基于pfsense的FW。Checkpoint, Fortinet, Palo-Alto, Juniper, Cisco/Meraki, F5, Stormshield(主要是一家法国本土制造商),是的。
家里/小办公室的东西≠公司的东西。
读到这句话,我有两个问题:
1)我很想知道网络黑客是如何瞄准那些不暴露在互联网上的设备的。
2)谁购买了防火墙或网络安全产品,但没有连接到网络?
公平地说,在企业网络中,通常在不能直接从internet访问的上下文中设置防火墙。
我不认为Zyxel在这种情况下是一个玩家。
读到这句话,我有两个问题:
1)我很想知道网络黑客是如何瞄准那些不暴露在互联网上的设备的。
2)谁购买了防火墙或网络安全产品,但没有连接到网络?
公平地说,在企业网络中,通常在不能直接从internet访问的上下文中设置防火墙。
我不认为泽塞尔参与了尽管这些上下文。
完全正确。
读到这句话,我有两个问题:
1)我很想知道网络黑客是如何瞄准那些不暴露在互联网上的设备的。
2)谁购买了防火墙或网络安全产品,但没有连接到网络?
再保险:2。那些重视网络稳定和安全的人。我去过那里,有一个完整的实验室设备作为测试设备/备件。是的,它很贵,但它意味着当您对1)服务器、2)工作站、3)交换机、4)防火墙进行更改时,您不必猜测会发生什么。
但是你已经把它们连接到的网络(即使它不是互联网),而且你真的很愚蠢,关心那么多的网络安全,然后去购买廉价的消费级网络产品。对于那些迎合这些受影响的产品,这是他们的主要用例,所以这是一个不必要的声明。
将您的网络的一部分与其他部分隔离是一回事,但它仍然是一个网络。
至于稳定性部分,你工作的环境中是否有很多网络管理员不能相互正常通信?上次我在一个足够大的网络环境中工作时,我们总是知道当我们更改网络拓扑时会发生什么。简单的服务器更改永远不会给网络带来稳定性问题。这听起来像是没有完全控制他们所管理的网络和/或有邻近网络干扰的人。但我很好奇你的意思,因为那是在一个更简单的时代,袭击更少所以我承认事情变了。
读到这句话,我有两个问题:
1)我很想知道网络黑客是如何瞄准那些不暴露在互联网上的设备的。
2)谁购买了防火墙或网络安全产品,但没有连接到网络?
报道中引用的声明非常清楚地表明,这是关于设备向互联网公开其管理接口,即允许从WAN端口登录。
读到这句话,我有两个问题:
1)我很想知道网络黑客是如何瞄准那些不暴露在互联网上的设备的。
2)谁购买了防火墙或网络安全产品,但没有连接到网络?
报道中引用的声明非常清楚地表明,这是关于设备向互联网公开其管理接口,即允许从WAN端口登录。
谢谢你的澄清。
购买带有已知后门的网络设备应该是犯罪行为。
把这话告诉伊朗人吧……
事实上,以色列人不得不使用USB进入系统并损坏离心机,但无论如何,他们无法获得工厂的敏感数据。
“断开电缆”的规则也适用于工厂或办公室的内部,而不仅仅是外部。
唯一的方法来保护自己以某种方式从网络攻击是分区的内部网络,只允许访问外部通信电脑必要的外部,而不是所有的电脑连接到同一个网络,然后连接外面的,最好是分区尽可能创造更多的内部网络,不是彼此连接,连接到外面,甚至以复制打印机或/和电脑为代价。
这也适用于私人住宅。
你必须登录或创建帐户置评。