网络设备制造商Zyxel警告客户,该公司的一系列防火墙和其他类型的安全设备正在遭受积极和持续的攻击。
在一封电子邮件中,该公司表示,被攻击的设备包括具有远程管理或启用SSL VPN的安全设备,即运行内部ZLD固件的USG/ZyWALL、USG FLEX、ATP和VPN系列。这封邮件的措辞很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。这封电子邮件似乎还说,当攻击者成功访问设备时,他们就能够连接到硬连接到设备上的以前未知的账户。
把舱口封好
“我们已经意识到这一情况,并一直在尽最大努力调查和解决它,”邮件中写道发布到Twitter说。“威胁行为者试图通过WAN访问设备;如果成功,他们会绕过身份验证,使用未知用户帐户(如‘zyxel_silvpn’、‘zyxel_ts’或‘zyxel_vpn_test’)建立SSL VPN隧道,以操纵设备的配置。”
目前尚不清楚受到攻击的漏洞是新出现的还是之前就知道的。同样不清楚的是,有多少客户受到攻击,他们的地理位置是什么,以及攻击是否成功地损害了客户的设备,或者只是试图这样做。
在随后发布的一份声明中,Zyxel的官员写道:
最初来自欧洲用户的报告称,Zyxel意识到一个复杂的威胁行为者试图通过WAN访问Zyxel安全设备的子集,以绕过身份验证并使用未知用户帐户建立SSL VPN隧道。Zyxel目前正在评估攻击载体,以确定这是一个已知的还是未知的漏洞。
Zyxel已经制定了指导方针,使用户能够暂时缓解安全事件并遏制威胁。已向USG/ZyWALL、USG FLEX、ATP或VPN系列设备的所有注册用户发送了一份SOP。Zyxel正在开发一个固件更新,以解决SOP中描述的用户界面安全实践,以减少攻击面。
目前受影响的客户数量尚不清楚,因为似乎被利用的设备的web管理可以公开访问,而且没有被锁定。
根据目前掌握的模糊细节,这个漏洞听起来让人想起cve - 2020 - 29583这源于一个使用硬编码密码“PrOw!aN_fXp”的无文件帐户,该帐户具有完全的管理系统权限。当合勤科技修复漏洞然而,今年1月,该账户被列为“zyfwp”,这个名字并没有出现在Zyxel本周发给客户的电子邮件中。
无论如何,这封邮件说,保护客户Zyxel设备安全的最佳方法是遵循发布的指导方针在这里。这些指南包含了一些通用建议,比如使用尽可能低的权限配置设备、给设备打补丁、使用双重身份验证以及对网络钓鱼攻击保持警惕。
这封电子邮件发出之际,防火墙、vpn和其他用于保护网络的设备已成为黑客发起勒索软件或间谍攻击的关键载体。这些设备通常位于网络外围,以过滤或阻止进出组织的流量。一旦被攻破,这些设备通常会让攻击者有能力转向内部网络。
在过去几年中,Fortigate SSL VPN和竞争对手Pulse Secure SSL VPN中的漏洞有来下攻击。设备从Sonicwall也因安全漏洞而受到损害。这些威胁表明,当安全设备没有被仔细锁定时,它们实际上会使网络不那么安全。
54读者评论
如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
如果你担心锁定和销售太便宜/太多,以保持每个设备唯一的密钥;一个好的老式物理复位开关是显而易见的解决方案。
如果你做了某种“管理”/“企业供应商监控”/等等。您可以并且应该能够维护与哪个序列号匹配的私钥的记录;因此,您的固定服务帐户至少有唯一的和功能上无法猜到的凭据;不能仅通过转储设备来提取(因为需要的只是相应的公钥,而不是明文或散列密码)。
我对Zyxel的印象是,他们更偏向于“价值”一端;但这并不能改变一个事实,那就是这两者中至少有一个应该适用于他们阵容中的任何东西。
如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
这在加州是违法的,而且会受到惩罚。
但其他司法管辖区的情况就不确定了。
当它们在发货前没有被移除时,问题就来了。有绝对没有理由用这些测试帐户装运产品。我们很容易构建这样的流程,确保所有这些帐户都是已知的,一旦它们不再需要就会被删除,并通过测试验证它们不能在实际设备上工作。这个问题已经存在太久了。这是极其不称职的。
在一个消费者产品法中承认公平的世界里,这将导致Zyxel不得不支付我的消费者违反的保险索赔的一定比例。
收缩包装软件的法律应该废除。随着攻击者变得越来越高级,用户将继续以不断加速的速度燃烧。
有一点可能是政府下令的。
/戴上锡纸帽
是的,有一个硬编码凭证。但它不能从面向外部的接口访问。所以威胁来自内部不是我们的错。
我记得类似的事情发生在消费者路由器上。
我记得Zyxel还是高端品牌的时候。当然,这是在2400波特的MNP10调制解调器还是高端的时候,所以已经有一段时间了……
我记得Zyxel还是高端品牌的时候。当然,这是在2400波特的MNP10调制解调器还是高端的时候,所以已经有一段时间了……
哈!我不记得我为什么知道这个名字,但你说对了,我在90年代有一个丑陋的米色调制解调器,那是Zyxel,给了我一些很好的旧Compuserve。
我知道很好的开源交钥匙防火墙解决方案,如OPNsense。但是,如果我们谈论的是企业级VPN设备类型的设置,那么等效的是什么呢?Zyxel、Pulse Secure等都是众所周知的热门产品,但我还没有看到太多提到有开源软件可以在使用它们的组织中取代它们。
(显然,它不只是Wireguard之类的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)
我知道很好的开源交钥匙防火墙解决方案,如OPNsense。但是,如果我们谈论的是企业级VPN设备类型的设置,那么等效的是什么呢?Zyxel、Pulse Secure等都是众所周知的热门产品,但我还没有看到太多提到有开源软件可以在使用它们的组织中取代它们。
(显然,它不只是Wireguard之类的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)
OPNsense和PFsense都有商业产品,而VyOS在商业方面更进一步,尽管它们确实有一个社区发行版。总之,我曾经在业务环境中成功地使用过Vyatta,它是VyOS的前身。
我知道很好的开源交钥匙防火墙解决方案,如OPNsense。但是,如果我们谈论的是企业级VPN设备类型的设置,那么等效的是什么呢?Zyxel、Pulse Secure等都是众所周知的热门产品,但我还没有看到太多提到有开源软件可以在使用它们的组织中取代它们。
(显然,它不只是Wireguard之类的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)
我是作为一个开源的狂热爱好者说这句话的,但不幸的是,我的大多数企业客户都不会接触开源产品,除非它有Red Hat或Canonical之类的支持。从连续性的角度来看,我可以理解为什么……我的意思是,即使是红帽公司的世界,看看最近的CentOS崩溃。
当然也有例外,但它们往往是不太复杂的开源计划,而不是完全依赖安全设备。
我希望看到这种改变,不要误解我的意思。
*编辑*更具体地说,他们希望保证项目不只是失败,虽然这不是开源独有的性质,但它往往更经常发生。
有意思,我之前没听说过Vyatta/VyOS。
{OPN,PF}sense和VyOS似乎都把自己标榜为无所不能的安全产品,至少前两者在家庭网络讨论中经常被提及。他们提供的vpn网关功能是否与Pulse Secure之类的功能相当?我的印象是会有一个单独的/专门的OSS项目。
当然也有例外,但它们往往是不太复杂的开源计划,而不是完全依赖安全设备。
我希望看到这种改变,不要误解我的意思。
*编辑*更具体地说,他们希望保证项目不只是失败,虽然这不是开源独有的性质,但它往往更经常发生。
有一个开源的、功能完整的替代品是一回事;让组织使用它是另一回事!其中80%是“如果我明天被提升为CSO,我会安装什么”,20%是“下次我们的专用VPN网关出现安全问题时,我会不经意地向我的CSO提及的事情”。
/戴上锡纸帽
假设这是真的。政府成功地迫使公司安装了这个后门。
鉴于这告诉我们政府有多么强大,他们为什么会选择允许这个故事被发表?
/戴上锡纸帽
假设这是真的。政府成功地迫使公司安装了这个后门。
鉴于这告诉我们政府有多么强大,他们为什么会选择允许这个故事被发表?
你看到最后那顶锡纸帽了吗?
很久以前是一个商业企业软件开发人员。我们的一个客户在他们的合同中要求所有的后门都要记录在案,所以我审计了我们的代码,删除了所有的后门,只留下一个。1仍然需要使用密钥,并且必须将密钥放在服务器(而不是客户机)上。它主要是为预售提供一种方法,可以轻松地为最多3个客户提供30天的许可密钥,而无需通过我们的网络许可管理系统生成密钥。
因此,即使是我们的后门也需要潜在客户在服务器上做一些事情,而且一次只能启用30天。
这东西不难。只是需要优先考虑。输掉一场500万美元的官司会让它成为优先事项。
更新:s/client/potential customer/
最后编辑:TheFu2021年6月24日星期四晚上9:31
如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
这在加州是违法的,而且会受到惩罚。
但其他司法管辖区的情况就不确定了。
在加利福尼亚州,如果没有警告用户9999999999个手机用户中就有一个人被诊断患有癌症,就会受到惩罚,所以不确定这项保护措施是否会被其他州效仿。
读了这句话,我有两个问题:
1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
2)谁买了防火墙或网络安全产品,却不把它连接到网络上?
跟伊朗人说去吧…
读了这句话,我有两个问题:
1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
2)谁买了防火墙或网络安全产品,却不把它连接到网络上?
再保险:2。那些重视网络稳定性和安全性的人。有一个完整的实验室设备作为测试设备/备件。是的,它很昂贵,但这意味着当你对1)服务器、2)工作站、3)交换机、4)防火墙进行更改时,你不必猜测会发生什么。
跟伊朗人说去吧…
如果你是以色列情报机构的目标,你可能也需要把这些USB端口粘起来
我要指出的是,即使你不再订阅他们的安全服务,至少他们也会提供固件更新。如果同样的问题出现在一些竞争对手的产品中,比如Watchguard,许多人甚至无法安装更新的固件。
我10多年前就抛弃了任何硬件防火墙,拒绝在路由器/接入点中使用任何防火墙,更不用说你的电缆或adsl调制解调器了。
Pfsense为我的家庭或小型企业提供了诀窍。你的机架上任何退役的服务器都可以,如果cpu有AES-NI,你也可以进行vpn连接。我在最低的pc引擎设备上运行它(不幸的是,这些设备在2021年底之前都缺货)。目前,我在我的家庭实验室Esxi的虚拟机中运行pfsense。
Pulse Secure已经多次被渗透,即使是在他们最新的版本中,真正的零日披露,所以呼吁他们是值得的,但Fortinet的唯一问题是没有更新超过6个月的操作系统版本(以及那些没有阅读发布说明的人)。
我在过去安装了许多Juniper SA & MAG,但由于反复出现零日和高度宣传的渗透,他们的使用是黑帽的方式,看到一个仍然在使用已经变得很少了。
但《Fortinets》却不是这样。不更新你的网络安全设备就像把你的电脑放在某个公共地方,把登录名/密码贴在底部:如果你这样做,就不会有隐私可言。在我的记忆中,福蒂内还没有过真正的零日。那么为什么要假装不是这样呢?
我10多年前就抛弃了任何硬件防火墙,拒绝在路由器/接入点中使用任何防火墙,更不用说你的电缆或adsl调制解调器了。
Pfsense为我的家庭或小型企业提供了诀窍。你的机架上任何退役的服务器都可以,如果cpu有AES-NI,你也可以进行vpn连接。我在最低的pc引擎设备上运行它(不幸的是,这些设备在2021年底之前都缺货)。目前,我在我的家庭实验室Esxi的虚拟机中运行pfsense。
我还没有在任何企业环境中看到基于pfsense的FW。Checkpoint, Fortinet, Palo-Alto, Juniper, Cisco/Meraki, F5, Stormshield(主要是法国本地制造商),是的。
家庭/小办公室的东西≠公司。
读了这句话,我有两个问题:
1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
2)谁买了防火墙或网络安全产品,却不把它连接到网络上?
公平地说,在企业网络中,在不能从互联网直接访问的环境中使用防火墙是很常见的。
但我不认为Zyxel是这种情况下的玩家。
读了这句话,我有两个问题:
1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
2)谁买了防火墙或网络安全产品,却不把它连接到网络上?
公平地说,在企业网络中,在不能从互联网直接访问的环境中使用防火墙是很常见的。
我不认为Zyxel参与其中这些背景。
完全正确。
读了这句话,我有两个问题:
1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
2)谁买了防火墙或网络安全产品,却不把它连接到网络上?
再保险:2。那些重视网络稳定性和安全性的人。有一个完整的实验室设备作为测试设备/备件。是的,它很昂贵,但这意味着当你对1)服务器、2)工作站、3)交换机、4)防火墙进行更改时,你不必猜测会发生什么。
但是你已经把它们连接到的网络(即使它不是互联网),而且你真的很愚蠢地关心网络安全,然后去购买廉价的消费级网络产品。对于那些受影响的产品,这是他们的主要用例,所以这是一个不必要的声明。
将网络的一部分与其他部分隔离是一回事,但它仍然是一个网络。
至于稳定性部分,您工作的环境中有很多网络管理员彼此之间不能正常通信吗?上次我在一个足够大的网络环境中工作时,我们总是知道当我们对网络拓扑进行更改时会发生什么。简单的服务器更改永远不会给网络带来稳定性问题。这听起来像是某人没有完全控制他们管理的网络和/或有干扰的相邻网络。但我很好奇你的意思,考虑到这是在一个更简单的时代,袭击更少,所以我承认事情在改变。
读了这句话,我有两个问题:
1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
2)谁买了防火墙或网络安全产品,却不把它连接到网络上?
报道中引用的声明非常清楚地表明,这是关于将其管理接口暴露给Internet的设备,即允许从WAN端口登录。
读了这句话,我有两个问题:
1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
2)谁买了防火墙或网络安全产品,却不把它连接到网络上?
报道中引用的声明非常清楚地表明,这是关于将其管理接口暴露给Internet的设备,即允许从WAN端口登录。
谢谢你的澄清。
购买带有已知后门的网络设备应该是刑事犯罪。
跟伊朗人说去吧…
事实上,以色列人不得不使用USB进入系统并破坏离心机,但无论如何,他们都无法访问工厂的敏感数据。
“断开电缆”的规则也适用于工厂或办公室的内部,而不仅仅是外部。
唯一的方法来保护自己以某种方式从网络攻击是分区的内部网络,只允许访问外部通信电脑必要的外部,而不是所有的电脑连接到同一个网络,然后连接外面的,最好是分区尽可能创造更多的内部网络,不是彼此连接,连接到外面,即使是以复制打印机或/和电脑为代价。
这也适用于私人家庭。
你必须登录或创建帐户置评。