传入的,

黑客正在使用未知用户帐户攻击Zyxel的防火墙和vpn

身份验证绕过攻击允许黑客改变,破坏网络安全。

路由器的宣传图片。

网络设备制造商Zyxel警告客户,该公司的一系列防火墙和其他类型的安全设备正在遭受积极和持续的攻击。

在一封电子邮件中,该公司表示,被攻击的设备包括具有远程管理或启用SSL VPN的安全设备,即运行内部ZLD固件的USG/ZyWALL、USG FLEX、ATP和VPN系列。这封邮件的措辞很简洁,但它似乎在说,攻击的目标是暴露在互联网上的设备。这封电子邮件似乎还说,当攻击者成功访问设备时,他们就能够连接到硬连接到设备上的以前未知的账户。

把舱口封好

“我们已经意识到这一情况,并一直在尽最大努力调查和解决它,”邮件中写道发布到Twitter说。“威胁行为者试图通过WAN访问设备;如果成功,他们会绕过身份验证,使用未知用户帐户(如‘zyxel_silvpn’、‘zyxel_ts’或‘zyxel_vpn_test’)建立SSL VPN隧道,以操纵设备的配置。”

目前尚不清楚受到攻击的漏洞是新出现的还是之前就知道的。同样不清楚的是,有多少客户受到攻击,他们的地理位置是什么,以及攻击是否成功地损害了客户的设备,或者只是试图这样做。

在随后发布的一份声明中,Zyxel的官员写道:

最初来自欧洲用户的报告称,Zyxel意识到一个复杂的威胁行为者试图通过WAN访问Zyxel安全设备的子集,以绕过身份验证并使用未知用户帐户建立SSL VPN隧道。Zyxel目前正在评估攻击载体,以确定这是一个已知的还是未知的漏洞。

Zyxel已经制定了指导方针,使用户能够暂时缓解安全事件并遏制威胁。已向USG/ZyWALL、USG FLEX、ATP或VPN系列设备的所有注册用户发送了一份SOP。Zyxel正在开发一个固件更新,以解决SOP中描述的用户界面安全实践,以减少攻击面。

目前受影响的客户数量尚不清楚,因为似乎被利用的设备的web管理可以公开访问,而且没有被锁定。

根据目前掌握的模糊细节,这个漏洞听起来让人想起cve - 2020 - 29583这源于一个使用硬编码密码“PrOw!aN_fXp”的无文件帐户,该帐户具有完全的管理系统权限。当合勤科技修复漏洞然而,今年1月,该账户被列为“zyfwp”,这个名字并没有出现在Zyxel本周发给客户的电子邮件中。

无论如何,这封邮件说,保护客户Zyxel设备安全的最佳方法是遵循发布的指导方针在这里.这些指南包含了一些通用建议,比如使用尽可能低的权限配置设备、给设备打补丁、使用双重身份验证以及对网络钓鱼攻击保持警惕。

这封电子邮件发出之际,防火墙、vpn和其他用于保护网络的设备已成为黑客发起勒索软件或间谍攻击的关键载体。这些设备通常位于网络外围,以过滤或阻止进出组织的流量。一旦被攻破,这些设备通常会让攻击者有能力转向内部网络。

在过去几年中,Fortigate SSL VPN和竞争对手Pulse Secure SSL VPN中的漏洞攻击.设备从Sonicwall也因安全漏洞而受到损害。这些威胁表明,当安全设备没有被仔细锁定时,它们实际上会使网络不那么安全。

读者意见(54)

查看论坛评论

加载评论……

通道Ars Technica