传入的,

黑客正在使用未知用户帐户攻击Zyxel的防火墙和vpn

身份验证绕过攻击允许黑客改变,破坏网络安全。

路由器的宣传图片。

网络设备制造商Zyxel警告客户,该公司的一系列防火墙和其他类型的安全设备正在遭受积极和持续的攻击。

在一封电子邮件中,该公司表示,被攻击的设备包括具有远程管理或启用SSL VPN的安全设备,即运行内部ZLD固件的USG/ZyWALL、USG FLEX、ATP和VPN系列。这封邮件的措辞很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。这封电子邮件似乎还说,当攻击者成功访问设备时,他们就能够连接到硬连接到设备上的以前未知的账户。

把舱口封好

“我们已经意识到这一情况,并一直在尽最大努力调查和解决它,”邮件中写道发布到Twitter说。“威胁行为者试图通过WAN访问设备;如果成功,他们会绕过身份验证,使用未知用户帐户(如‘zyxel_silvpn’、‘zyxel_ts’或‘zyxel_vpn_test’)建立SSL VPN隧道,以操纵设备的配置。”

目前尚不清楚受到攻击的漏洞是新出现的还是之前就知道的。同样不清楚的是,有多少客户受到攻击,他们的地理位置是什么,以及攻击是否成功地损害了客户的设备,或者只是试图这样做。

在随后发布的一份声明中,Zyxel的官员写道:

最初来自欧洲用户的报告称,Zyxel意识到一个复杂的威胁行为者试图通过WAN访问Zyxel安全设备的子集,以绕过身份验证并使用未知用户帐户建立SSL VPN隧道。Zyxel目前正在评估攻击载体,以确定这是一个已知的还是未知的漏洞。

Zyxel已经制定了指导方针,使用户能够暂时缓解安全事件并遏制威胁。已向USG/ZyWALL、USG FLEX、ATP或VPN系列设备的所有注册用户发送了一份SOP。Zyxel正在开发一个固件更新,以解决SOP中描述的用户界面安全实践,以减少攻击面。

目前受影响的客户数量尚不清楚,因为似乎被利用的设备的web管理可以公开访问,而且没有被锁定。

根据目前掌握的模糊细节,这个漏洞听起来让人想起cve - 2020 - 29583这源于一个使用硬编码密码“PrOw!aN_fXp”的无文件帐户,该帐户具有完全的管理系统权限。当合勤科技修复漏洞然而,今年1月,该账户被列为“zyfwp”,这个名字并没有出现在Zyxel本周发给客户的电子邮件中。

无论如何,这封邮件说,保护客户Zyxel设备安全的最佳方法是遵循发布的指导方针在这里.这些指南包含了一些通用建议,比如使用尽可能低的权限配置设备、给设备打补丁、使用双重身份验证以及对网络钓鱼攻击保持警惕。

这封电子邮件发出之际,防火墙、vpn和其他用于保护网络的设备已成为黑客发起勒索软件或间谍攻击的关键载体。这些设备通常位于网络外围,以过滤或阻止进出组织的流量。一旦被攻破,这些设备通常会让攻击者有能力转向内部网络。

在过去几年中,Fortigate SSL VPN和竞争对手Pulse Secure SSL VPN中的漏洞攻击.设备从Sonicwall也因安全漏洞而受到损害。这些威胁表明,当安全设备没有被仔细锁定时,它们实际上会使网络不那么安全。

54读者评论

  1. “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
    5608个帖子|注册
  2. 为什么任何网络盒子小部件供应商比那些在易趣网上卖10美元神秘路由器的人更严肃可能还在容忍固件中硬编码凭证的存在吗?

    如果你担心锁定和销售太便宜/太多,以保持每个设备唯一的密钥;一个好的老式物理复位开关是显而易见的解决方案。

    如果你做了某种“管理”/“企业供应商监控”/等等。您可以并且应该能够维护与哪个序列号匹配的私钥的记录;因此,您的固定服务帐户至少有唯一的和功能上无法猜到的凭据;不能仅通过转储设备来提取(因为需要的只是相应的公钥,而不是明文或散列密码)。

    我对Zyxel的印象是,他们更偏向于“价值”一端;但这并不能改变一个事实,那就是这两者中至少有一个应该适用于他们阵容中的任何东西。
    8194个帖子|注册
  3. 我受够了那些蹩脚的消费者路由器,里面故意装了工厂后门。为什么这些公司没有被起诉?
    3560个帖子|注册
  4. 销售带有已知后门的网络设备应该是刑事犯罪。
    5087个帖子|注册
  5. jhodge写道:
    “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。

    这在加州是违法的,而且会受到惩罚。

    但其他司法管辖区的情况就不确定了。
    1044个帖子|注册
  6. 后门通常不是那些想要破坏真实用户的不良行为者设置的。它们通常是因为合法的业务需要解锁测试。没有它们,在帐户系统完成之前,任何需要工作帐户的代码都无法进行测试,使其成为瓶颈,并阻止大量工作继续进行,直到完成为止。

    当它们在发货前没有被移除时,问题就来了。有绝对没有理由用这些测试帐户装运产品。我们很容易构建这样的流程,确保所有这些帐户都是已知的,一旦它们不再需要就会被删除,并通过测试验证它们不能在实际设备上工作。这个问题已经存在太久了。这是极其不称职的。
    808个帖子|注册
  7. Nop666写道:
    为什么这些公司没有被起诉?


    图像
    5509个帖子|已注册
  8. 引用:
    威胁行为者试图通过WAN访问设备;如果成功,他们会绕过身份验证,使用未知用户帐户(如‘zyxel_silvpn’、‘zyxel_ts’或‘zyxel_vpn_test’)建立SSL VPN隧道,以操纵设备的配置。”

    在一个消费者产品法中承认公平的世界里,这将导致Zyxel不得不支付我的消费者违反的保险索赔的一定比例。

    收缩包装软件的法律应该废除。随着攻击者变得越来越高级,用户将继续以不断加速的速度燃烧。
    2060个帖子|注册
  9. Nop666写道:
    我受够了那些蹩脚的消费者路由器,里面故意装了工厂后门。为什么这些公司没有被起诉?


    有一点可能是政府下令的。

    /戴上锡纸帽
    2894个帖子|注册
  10. 这一直是我对Zylex(以及类似品牌)的担忧。它们通常是一个非常划算的解决方案,但你没有背后的大名字来证明这个解决方案。所以当事情变糟的时候(即使在思科的世界里也会发生),把它放在合适的位置的管理人员就会受到指责。希望他们在那一刻已经向前看了。
    1125个帖子|注册
  11. 想象一下如果他们回答一些愚蠢的事情,比如。

    是的,有一个硬编码凭证。但它不能从面向外部的接口访问。所以威胁来自内部不是我们的错。

    我记得类似的事情发生在消费者路由器上。
    16614个帖子|注册
  12. Jamjen831写道:
    这一直是我对Zylex(以及类似品牌)的担忧。它们通常是一个非常划算的解决方案,但你没有背后的大名字来证明这个解决方案。所以当事情变糟的时候(即使在思科的世界里也会发生),把它放在合适的位置的管理人员就会受到指责。希望他们在那一刻已经向前看了。


    我记得Zyxel还是高端品牌的时候。当然,这是在2400波特的MNP10调制解调器还是高端的时候,所以已经有一段时间了……
    5608个帖子|注册
  13. jhodge写道:
    Jamjen831写道:
    这一直是我对Zylex(以及类似品牌)的担忧。它们通常是一个非常划算的解决方案,但你没有背后的大名字来证明这个解决方案。所以当事情变糟的时候(即使在思科的世界里也会发生),把它放在合适的位置的管理人员就会受到指责。希望他们在那一刻已经向前看了。


    我记得Zyxel还是高端品牌的时候。当然,这是在2400波特的MNP10调制解调器还是高端的时候,所以已经有一段时间了……


    哈!我不记得我为什么知道这个名字,但你说对了,我在90年代有一个丑陋的米色调制解调器,那是Zyxel,给了我一些很好的旧Compuserve。
    1057个帖子|注册
  14. 第三方无法对闭源网络边缘设备进行安全漏洞审计,这并不奇怪。什么令人惊讶的是,任何有安全意识的人都在使用它们,尤其是考虑到它们糟糕的记录。它与使用专有/未发布的加密密码一样有意义。

    我知道很好的开源交钥匙防火墙解决方案,如OPNsense。但是,如果我们谈论的是企业级VPN设备类型的设置,那么等效的是什么呢?Zyxel、Pulse Secure等都是众所周知的热门产品,但我还没有看到太多提到有开源软件可以在使用它们的组织中取代它们。

    (显然,它不只是Wireguard之类的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)
    44个帖子|注册
  15. iskunk写道:
    第三方无法对闭源网络边缘设备进行安全漏洞审计,这并不奇怪。什么令人惊讶的是,任何有安全意识的人都在使用它们,尤其是考虑到它们糟糕的记录。它与使用专有/未发布的加密密码一样有意义。

    我知道很好的开源交钥匙防火墙解决方案,如OPNsense。但是,如果我们谈论的是企业级VPN设备类型的设置,那么等效的是什么呢?Zyxel、Pulse Secure等都是众所周知的热门产品,但我还没有看到太多提到有开源软件可以在使用它们的组织中取代它们。

    (显然,它不只是Wireguard之类的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)


    OPNsense和PFsense都有商业产品,而VyOS在商业方面更进一步,尽管它们确实有一个社区发行版。总之,我曾经在业务环境中成功地使用过Vyatta,它是VyOS的前身。
    5608个帖子|注册
  16. iskunk写道:
    第三方无法对闭源网络边缘设备进行安全漏洞审计,这并不奇怪。什么令人惊讶的是,任何有安全意识的人都在使用它们,尤其是考虑到它们糟糕的记录。它与使用专有/未发布的加密密码一样有意义。

    我知道很好的开源交钥匙防火墙解决方案,如OPNsense。但是,如果我们谈论的是企业级VPN设备类型的设置,那么等效的是什么呢?Zyxel、Pulse Secure等都是众所周知的热门产品,但我还没有看到太多提到有开源软件可以在使用它们的组织中取代它们。

    (显然,它不只是Wireguard之类的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)


    我是作为一个开源的狂热爱好者说这句话的,但不幸的是,我的大多数企业客户都不会接触开源产品,除非它有Red Hat或Canonical之类的支持。从连续性的角度来看,我可以理解为什么……我的意思是,即使是红帽公司的世界,看看最近的CentOS崩溃。

    当然也有例外,但它们往往是不太复杂的开源计划,而不是完全依赖安全设备。

    我希望看到这种改变,不要误解我的意思。

    *编辑*更具体地说,他们希望保证项目不只是失败,虽然这不是开源独有的性质,但它往往更经常发生。
    1057个帖子|注册
  17. Zyxel的主要卖点是互联网服务提供商是他们的低价格和(相对)方便的帮助台远程管理,用户不能登录到一个web门户网站,并作出基本的改变。“敷衍了事”之外的安全保障确实不在预算之内。
    1667个帖子|注册
  18. 唯一管用的防火墙就是不插电的电缆
    240个帖子|注册
  19. jhodge写道:
    OPNsense和PFsense都有商业产品,而VyOS在商业方面更进一步,尽管它们确实有一个社区发行版。总之,我曾经在业务环境中成功地使用过Vyatta,它是VyOS的前身。

    有意思,我之前没听说过Vyatta/VyOS。

    {OPN,PF}sense和VyOS似乎都把自己标榜为无所不能的安全产品,至少前两者在家庭网络讨论中经常被提及。他们提供的vpn网关功能是否与Pulse Secure之类的功能相当?我的印象是会有一个单独的/专门的OSS项目。

    ukeandhike写道:
    我是作为一个开源的狂热爱好者说这句话的,但不幸的是,我的大多数企业客户都不会接触开源产品,除非它有Red Hat或Canonical之类的支持。从连续性的角度来看,我可以理解为什么……我的意思是,即使是红帽公司的世界,看看最近的CentOS崩溃。

    当然也有例外,但它们往往是不太复杂的开源计划,而不是完全依赖安全设备。

    我希望看到这种改变,不要误解我的意思。

    *编辑*更具体地说,他们希望保证项目不只是失败,虽然这不是开源独有的性质,但它往往更经常发生。

    有一个开源的、功能完整的替代品是一回事;让组织使用它是另一回事!其中80%是“如果我明天被提升为CSO,我会安装什么”,20%是“下次我们的专用VPN网关出现安全问题时,我会不经意地向我的CSO提及的事情”。
    44个帖子|注册
  20. 有一点可能是政府下令的。

    /戴上锡纸帽

    假设这是真的。政府成功地迫使公司安装了这个后门。

    鉴于这告诉我们政府有多么强大,他们为什么会选择允许这个故事被发表?
    808个帖子|注册
  21. LrdDimwit写道:
    有一点可能是政府下令的。

    /戴上锡纸帽

    假设这是真的。政府成功地迫使公司安装了这个后门。

    鉴于这告诉我们政府有多么强大,他们为什么会选择允许这个故事被发表?


    你看到最后那顶锡纸帽了吗?
    2894个帖子|注册
  22. 仅仅因为路由器有一个“启用VPN”按钮,这并不意味着使用它是一个好主意。

    很久以前是一个商业企业软件开发人员。我们的一个客户在他们的合同中要求所有的后门都要记录在案,所以我审计了我们的代码,删除了所有的后门,只留下一个。1仍然需要使用密钥,并且必须将密钥放在服务器(而不是客户机)上。它主要是为预售提供一种方法,可以轻松地为最多3个客户提供30天的许可密钥,而无需通过我们的网络许可管理系统生成密钥。

    因此,即使是我们的后门也需要潜在客户在服务器上做一些事情,而且一次只能启用30天。

    这东西不难。只是需要优先考虑。输掉一场500万美元的官司会让它成为优先事项。

    更新:s/client/potential customer/

    最后编辑:TheFu2021年6月24日星期四晚上9:31

    3609个帖子|注册
  23. jamesb2147写道:
    jhodge写道:
    “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明Zyxel仍在销售有后门账户的设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于如此恶劣的行为,应该有法定赔偿——比如设备原始零售成本的10倍,以起到威慑作用。

    这在加州是违法的,而且会受到惩罚。

    但其他司法管辖区的情况就不确定了。


    在加利福尼亚州,如果没有警告用户9999999999个手机用户中就有一个人被诊断患有癌症,就会受到惩罚,所以不确定这项保护措施是否会被其他州效仿。
    6212个帖子|注册
  24. “电子邮件中的语言很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
    2)谁买了防火墙或网络安全产品,却不把它连接到网络上?
    251个帖子|注册
  25. 唯一管用的防火墙就是不插电的电缆


    跟伊朗人说去吧…
    2895个帖子|注册
  26. maxz写道:
    “电子邮件中的语言很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
    2)谁买了防火墙或网络安全产品,却不把它连接到网络上?


    再保险:2。那些重视网络稳定性和安全性的人。有一个完整的实验室设备作为测试设备/备件。是的,它很昂贵,但这意味着当你对1)服务器、2)工作站、3)交换机、4)防火墙进行更改时,你不必猜测会发生什么。
    2895个帖子|注册
  27. 斯坦写道:
    唯一管用的防火墙就是不插电的电缆


    跟伊朗人说去吧…


    如果你是以色列情报机构的目标,你可能也需要把这些USB端口粘起来: D
    1057个帖子|注册
  28. Jamjen831写道:
    这一直是我对Zylex(以及类似品牌)的担忧。它们通常是一个非常划算的解决方案,但你没有背后的大名字来证明这个解决方案。所以当事情变糟的时候(即使在思科的世界里也会发生),把它放在合适的位置的管理人员就会受到指责。希望他们在那一刻已经向前看了。


    我要指出的是,即使你不再订阅他们的安全服务,至少他们也会提供固件更新。如果同样的问题出现在一些竞争对手的产品中,比如Watchguard,许多人甚至无法安装更新的固件。
    114个帖子|注册
  29. 这已经不是Zyxel第一次出现在这样的新闻中了。我对Us Robotics和Zyxel的日子记忆犹新。

    我10多年前就抛弃了任何硬件防火墙,拒绝在路由器/接入点中使用任何防火墙,更不用说你的电缆或adsl调制解调器了。

    Pfsense为我的家庭或小型企业提供了诀窍。你的机架上任何退役的服务器都可以,如果cpu有AES-NI,你也可以进行vpn连接。我在最低的pc引擎设备上运行它(不幸的是,这些设备在2021年底之前都缺货)。目前,我在我的家庭实验室Esxi的虚拟机中运行pfsense。
    57个帖子|注册
  30. 最后一段很有误导性,因为它把Fortinet列在Pulse Secure之前,好像Fortinet的问题比Pulse的问题更大。

    Pulse Secure已经多次被渗透,即使是在他们最新的版本中,真正的零日披露,所以呼吁他们是值得的,但Fortinet的唯一问题是没有更新超过6个月的操作系统版本(以及那些没有阅读发布说明的人)。

    我在过去安装了许多Juniper SA & MAG,但由于反复出现零日和高度宣传的渗透,他们的使用是黑帽的方式,看到一个仍然在使用已经变得很少了。

    但《Fortinets》却不是这样。不更新你的网络安全设备就像把你的电脑放在某个公共地方,把登录名/密码贴在底部:如果你这样做,就不会有隐私可言。在我的记忆中,福蒂内还没有过真正的零日。那么为什么要假装不是这样呢?
    874个帖子|注册
  31. johanpmeert写道:
    这已经不是Zyxel第一次出现在这样的新闻中了。我对Us Robotics和Zyxel的日子记忆犹新。

    我10多年前就抛弃了任何硬件防火墙,拒绝在路由器/接入点中使用任何防火墙,更不用说你的电缆或adsl调制解调器了。

    Pfsense为我的家庭或小型企业提供了诀窍。你的机架上任何退役的服务器都可以,如果cpu有AES-NI,你也可以进行vpn连接。我在最低的pc引擎设备上运行它(不幸的是,这些设备在2021年底之前都缺货)。目前,我在我的家庭实验室Esxi的虚拟机中运行pfsense。


    我还没有在任何企业环境中看到基于pfsense的FW。Checkpoint, Fortinet, Palo-Alto, Juniper, Cisco/Meraki, F5, Stormshield(主要是法国本地制造商),是的。

    家庭/小办公室的东西≠公司。
    874个帖子|注册
  32. maxz写道:
    “电子邮件中的语言很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
    2)谁买了防火墙或网络安全产品,却不把它连接到网络上?


    公平地说,在企业网络中,在不能从互联网直接访问的环境中使用防火墙是很常见的。

    但我不认为Zyxel是这种情况下的玩家。
    2383个帖子|注册
  33. fknuckles写道:
    maxz写道:
    “电子邮件中的语言很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
    2)谁买了防火墙或网络安全产品,却不把它连接到网络上?


    公平地说,在企业网络中,在不能从互联网直接访问的环境中使用防火墙是很常见的。

    我不认为Zyxel参与其中这些背景。

    完全正确。
    251个帖子|注册
  34. 斯坦写道:
    maxz写道:
    “电子邮件中的语言很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
    2)谁买了防火墙或网络安全产品,却不把它连接到网络上?


    再保险:2。那些重视网络稳定性和安全性的人。有一个完整的实验室设备作为测试设备/备件。是的,它很昂贵,但这意味着当你对1)服务器、2)工作站、3)交换机、4)防火墙进行更改时,你不必猜测会发生什么。

    但是你已经把它们连接到网络(即使它不是互联网),而且你真的很愚蠢地关心网络安全,然后去购买廉价的消费级网络产品。对于那些受影响的产品,这是他们的主要用例,所以这是一个不必要的声明。

    将网络的一部分与其他部分隔离是一回事,但它仍然是一个网络。

    至于稳定性部分,您工作的环境中有很多网络管理员彼此之间不能正常通信吗?上次我在一个足够大的网络环境中工作时,我们总是知道当我们对网络拓扑进行更改时会发生什么。简单的服务器更改永远不会给网络带来稳定性问题。这听起来像是某人没有完全控制他们管理的网络和/或有干扰的相邻网络。但我很好奇你的意思,考虑到这是在一个更简单的时代,袭击更少,所以我承认事情在改变。
    251个帖子|注册
  35. maxz写道:
    “电子邮件中的语言很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
    2)谁买了防火墙或网络安全产品,却不把它连接到网络上?

    报道中引用的声明非常清楚地表明,这是关于将其管理接口暴露给Internet的设备,即允许从WAN端口登录。
    3016个帖子|注册
  36. 斯特恩写道:
    maxz写道:
    “电子邮件中的语言很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道在线黑客是如何针对未暴露在互联网上的设备进行攻击的。
    2)谁买了防火墙或网络安全产品,却不把它连接到网络上?

    报道中引用的声明非常清楚地表明,这是关于将其管理接口暴露给Internet的设备,即允许从WAN端口登录。

    谢谢你的澄清。
    251个帖子|注册
  37. 销售带有已知后门的网络设备应该是刑事犯罪。


    购买带有已知后门的网络设备应该是刑事犯罪。
    1353个帖子|注册
  38. 如果硬编码的密码不是后门,那么可以是什么
    406个帖子|注册
  39. 斯坦写道:
    唯一管用的防火墙就是不插电的电缆


    跟伊朗人说去吧…


    事实上,以色列人不得不使用USB进入系统并破坏离心机,但无论如何,他们都无法访问工厂的敏感数据。

    “断开电缆”的规则也适用于工厂或办公室的内部,而不仅仅是外部。
    唯一的方法来保护自己以某种方式从网络攻击是分区的内部网络,只允许访问外部通信电脑必要的外部,而不是所有的电脑连接到同一个网络,然后连接外面的,最好是分区尽可能创造更多的内部网络,不是彼此连接,连接到外面,即使是以复制打印机或/和电脑为代价。

    这也适用于私人家庭。
    240个帖子|注册

你必须置评。

通道Ars Technica