传入的,

黑客正在使用未知用户账户攻击Zyxel的防火墙和vpn

认证绕过攻击允许黑客改变破坏网络安全。

路由器的宣传形象。

网络设备制造商Zyxel警告客户,该公司的一系列防火墙和其他类型的安全设备都受到了活跃和持续的攻击。

该公司在一封电子邮件中表示,目标设备包括启用了远程管理或SSL VPN的安全设备,即USG/ZyWALL、USG FLEX、ATP和VPN系列中运行的ZLD固件。邮件的措辞很简洁,但似乎在说,攻击的目标是暴露在互联网上的设备。该邮件进一步表示,当攻击者成功访问设备时,他们就能够连接到之前硬连接到设备中的未知账户。

封住舱口

“我们意识到了这一情况,并一直在尽最大努力调查和解决它,”邮件中写道发布到微博说。“威胁行为人试图通过广域网访问设备;如果成功,他们就会绕过身份验证,与未知用户账号(如' zyxel_silvpn '、' zyxel_ts '或' zyxel_vpn_test ')建立SSL VPN隧道,以操纵设备的配置。”

目前尚不清楚受到攻击的弱点是新出现的还是以前就知道的。同样不清楚的是,有多少客户受到了攻击,他们的地理分布情况如何,攻击是否成功地破坏了客户的设备,或者只是试图这样做。

在随后发布的一份声明中,Zyxel的官员写道:

最初来自欧洲的用户报告称,Zyxel意识到一个复杂的威胁行为体试图通过WAN访问Zyxel安全设备的子集,以绕过身份验证并与未知用户帐户建立SSL VPN隧道。Zyxel目前正在评估攻击载体,以确定这是一个已知或未知的漏洞。

Zyxel已经制定了指导方针,使用户能够暂时缓解安全事件并遏制威胁。向USG/ZyWALL、USG FLEX、ATP或VPN系列设备的所有注册用户发送SOP。Zyxel正在开发一个固件更新,以解决SOP中描述的用户界面安全实践,以减少攻击面。

目前受影响的客户数量尚不清楚,因为似乎被利用的设备的web管理是公开的,并没有被锁定。

根据目前获得的模糊细节,这个漏洞听起来让人想起cve - 2020 - 29583它来自一个没有文档的帐户,拥有完全的管理系统权限,使用硬编码密码“PrOw!aN_fXp”。当合勤科技固定的漏洞然而,今年1月,该账户被列为“zyfwp”,这个名字并没有出现在Zyxel本周发给客户的电子邮件中。

无论如何,邮件称,客户保护Zyxel设备的最佳方式是遵循发布的指导方针在这里.指南包含通用建议,如使用尽可能低的特权配置设备、给设备打补丁、使用双因素身份验证以及对网络钓鱼攻击保持警惕。

这封电子邮件发布之际,防火墙、vpn和其他用于保护网络安全的设备已成为黑客发起勒索软件或间谍攻击的关键载体。这些设备通常位于网络外围,用于过滤或阻止进出组织的通信流量。一旦被攻破,这些设备通常会让攻击者有能力转向内部网络。

在过去的几年里,Fortigate SSL VPN和竞争对手Pulse Secure SSL VPN的漏洞攻击.设备从Sonicwall也通过安全漏洞被破坏。这些威胁表明,当安全设备没有被仔细锁定时,它们实际上会使网络不那么安全。

54岁的读者评论

  1. “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明Zyxel仍在使用借壳账户运输设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于这种恶劣的行为,应该有法定的损害赔偿——比如设备原始零售成本的10倍,以起到威慑作用。
    5608个帖子|注册
  2. 为什么任何网络盒子小部件供应商比那些在ebay上卖10美元神秘路由器的人更认真可能还在容忍固件中硬编码凭证的存在吗?

    如果你担心锁定和销售太便宜/太多的数量,以保持每个设备的唯一密钥;一个好的老式物理复位开关是显而易见的解决方案。

    如果你做某种'托管'/'企业供应商监控'/等等。您可以而且应该能够维护一个记录,记录哪个私钥与哪个序列号匹配;因此,您的固定服务帐户至少有唯一的和功能上无法猜测的凭证;这不能通过转储设备来提取(因为所有需要的是相应的公钥,而不是明文或散列密码)。

    我对Zyxel的印象是,他们更偏向于“价值”这一端;但这并不能改变一个事实,那就是这两个球员中至少有一个应该适用于他们阵容中的任何球员。
    8193个帖子|注册
  3. 我受够了那些出厂时故意装了工厂后门的劣质消费路由器。为什么这些公司没有被起诉?
    3560个帖子|注册
  4. 出售带有已知后门的网络设备应该是刑事犯罪。
    5084个帖子|注册
  5. jhodge写道:
    “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明Zyxel仍在使用借壳账户运输设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于这种恶劣的行为,应该有法定的损害赔偿——比如设备原始零售成本的10倍,以起到威慑作用。

    这在加州是违法的,而且会受到惩罚。

    但不确定是否有其他司法管辖区。
    1043个帖子注册|
  6. 通常情况下,后门并不是那些想要伤害真正用户的坏人所设置的。它们的实施通常是因为消除测试障碍的合法业务需求。如果没有它们,在帐户系统完成之前,任何需要工作帐户的代码都无法进行测试,从而成为瓶颈,并阻止大量工作在帐户系统完成之前继续进行。

    当它们在装船前没有被移除时,问题来了。有绝对没有借口装运这些测试帐户的产品。要构建确保所有这些帐户都是已知的、一旦不再需要就删除它们、并通过测试验证在真正的设备上不能工作的流程太容易了。这个问题早已为人所知。这是极其无能的。
    注册了808个帖子
  7. Nop666写道:
    为什么这些公司没有被起诉?


    图像
    5509个帖子|注册
  8. 引用:
    威胁行为人试图通过广域网访问设备;如果成功,他们就会绕过身份验证,与未知用户账号(如' zyxel_silvpn '、' zyxel_ts '或' zyxel_vpn_test ')建立SSL VPN隧道,以操纵设备的配置。”

    在一个认可消费者产品法律公平的世界里,这将导致Zyxel不得不支付消费者的保险索赔的一定比例。

    收缩包装软件法律需要废除。随着攻击者变得更高级,用户将继续以前所未有的速度燃烧。
    2058个帖子|注册
  9. Nop666写道:
    我受够了那些出厂时故意装了工厂后门的劣质消费路由器。为什么这些公司没有被起诉?


    有一点可能是政府授权的。

    /锡箔帽子
    登记的帖子有2893个
  10. 这一直是我对Zylex(以及类似品牌)的担忧。他们通常是一个非常好的成本效益的解决方案,但你没有背后的大名字来证明解决方案。所以,当糟糕的事情发生时(甚至在思科的世界中也会发生),把它放在合适位置的管理员会受到惩罚。希望他们那时已经向前看了。
    1125个帖子|注册
  11. 想象一下如果他们用一些愚蠢的话来回应。

    是的,有一个硬编码的证书。但它不能从面向外的接口访问。所以威胁来自内部不是我们的错。

    我记得类似的事情发生在消费路由器上。
    16613个帖子|注册
  12. Jamjen831写道:
    这一直是我对Zylex(以及类似品牌)的担忧。他们通常是一个非常好的成本效益的解决方案,但你没有背后的大名字来证明解决方案。所以,当糟糕的事情发生时(甚至在思科的世界中也会发生),把它放在合适位置的管理员会受到惩罚。希望他们那时已经向前看了。


    我记得Zyxel还是个高端品牌的时候。当然,那时候带MNP10的2400波特调制解调器还是高端的,所以已经有一段时间了……
    5608个帖子|注册
  13. jhodge写道:
    Jamjen831写道:
    这一直是我对Zylex(以及类似品牌)的担忧。他们通常是一个非常好的成本效益的解决方案,但你没有背后的大名字来证明解决方案。所以,当糟糕的事情发生时(甚至在思科的世界中也会发生),把它放在合适位置的管理员会受到惩罚。希望他们那时已经向前看了。


    我记得Zyxel还是个高端品牌的时候。当然,那时候带MNP10的2400波特调制解调器还是高端的,所以已经有一段时间了……


    哈!我不记得为什么我知道这个名字,但你说对了……我在90年代有一个丑陋的米色调制解调器,是Zyxel……给我提供了一些不错的老Compuserve。
    1057个帖子|注册
  14. 第三方无法审计闭源网络边缘设备的安全漏洞,这并不奇怪。什么令人惊讶的是,任何有安全意识的人都使用它们,尤其是考虑到它们糟糕的记录。这与使用专有/未发布的加密密码一样有意义。

    我知道一些不错的开源交钥匙防火墙解决方案,比如OPNsense。但是,如果我们谈论企业级VPN设备类型的设置,那么等价的是什么呢?Zyxel、Pulse Secure等都是众所周知的热点,但我还没有看到有什么开源软件可以在使用它们的组织中取代它们。

    (显然,它必须不仅仅是“Wireguard”或类似的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)
    44个帖子|注册
  15. iskunk写道:
    第三方无法审计闭源网络边缘设备的安全漏洞,这并不奇怪。什么令人惊讶的是,任何有安全意识的人都使用它们,尤其是考虑到它们糟糕的记录。这与使用专有/未发布的加密密码一样有意义。

    我知道一些不错的开源交钥匙防火墙解决方案,比如OPNsense。但是,如果我们谈论企业级VPN设备类型的设置,那么等价的是什么呢?Zyxel、Pulse Secure等都是众所周知的热点,但我还没有看到有什么开源软件可以在使用它们的组织中取代它们。

    (显然,它必须不仅仅是“Wireguard”或类似的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)


    OPNsense和PFsense都有商业产品,而VyOS在商业方面走得更远一些,尽管它们也有一个社区发行版。总之,我曾经在业务环境中成功地使用过Vyatta (VyOS的前身)。
    5608个帖子|注册
  16. iskunk写道:
    第三方无法审计闭源网络边缘设备的安全漏洞,这并不奇怪。什么令人惊讶的是,任何有安全意识的人都使用它们,尤其是考虑到它们糟糕的记录。这与使用专有/未发布的加密密码一样有意义。

    我知道一些不错的开源交钥匙防火墙解决方案,比如OPNsense。但是,如果我们谈论企业级VPN设备类型的设置,那么等价的是什么呢?Zyxel、Pulse Secure等都是众所周知的热点,但我还没有看到有什么开源软件可以在使用它们的组织中取代它们。

    (显然,它必须不仅仅是“Wireguard”或类似的东西,因为它必须与身份验证/2FA系统集成,挂钩到IDS,提供管理UI等。)


    我是作为一个开源的狂热粉丝说这句话的,但不幸的是,我的大多数企业客户不会接触开源产品,除非它得到了像Red Hat或Canonical这样的支持。从连续性的角度来看,我可以理解为什么,我的意思是即使是红帽的世界,看看最近CentOS的崩溃。

    当然也有例外,但它们往往是不那么复杂的开放源码项目,不完全是安全设备。

    我希望看到这种改变,不要误会我的意思。

    更具体地说,他们希望保证项目不会失败,虽然这并非开源所独有,但这种情况确实经常发生。
    1057个帖子|注册
  17. Zyxel的主要卖点是互联网服务提供商是它们价格低廉,而且(相对)方便的帮助台远程管理,用户无法登录到门户网站并进行基本更改。“敷衍”之外的安全措施确实不在预算之内。
    注册了1667个帖子
  18. 唯一能用的防火墙就是不插电的电缆
    注册了240个帖子
  19. jhodge写道:
    OPNsense和PFsense都有商业产品,而VyOS在商业方面走得更远一些,尽管它们也有一个社区发行版。总之,我曾经在业务环境中成功地使用过Vyatta (VyOS的前身)。

    有意思,我以前没听说过Vyatta/VyOS。

    {OPN,PF}sense和VyOS似乎都标榜自己是无所不能的安全产品,至少前两者在家庭网络讨论中经常被提及。他们提供的vpn网关功能在功能方面是否与Pulse Secure之类的东西相当?我的印象是会有一个独立的/专门的OSS项目。

    ukeandhike写道:
    我是作为一个开源的狂热粉丝说这句话的,但不幸的是,我的大多数企业客户不会接触开源产品,除非它得到了像Red Hat或Canonical这样的支持。从连续性的角度来看,我可以理解为什么,我的意思是即使是红帽的世界,看看最近CentOS的崩溃。

    当然也有例外,但它们往往是不那么复杂的开放源码项目,不完全是安全设备。

    我希望看到这种改变,不要误会我的意思。

    更具体地说,他们希望保证项目不会失败,虽然这并非开源所独有,但这种情况确实经常发生。

    拥有一个开源的、功能完整的替代品是一回事;让组织使用它是另一回事!这80%是“如果我明天升为首席安全官,我会订购安装什么”,20%是“下次我们的专有VPN网关出现安全问题时,可以随意向我的首席安全官提及的事情。”
    44个帖子|注册
  20. 有一点可能是政府授权的。

    /锡箔帽子

    假设这是真的。政府成功地迫使该公司安装了这个后门。

    鉴于这告诉我们政府有多强大,他们为什么会选择让这篇报道被发表?
    注册了808个帖子
  21. LrdDimwit写道:
    有一点可能是政府授权的。

    /锡箔帽子

    假设这是真的。政府成功地迫使该公司安装了这个后门。

    鉴于这告诉我们政府有多强大,他们为什么会选择让这篇报道被发表?


    你到底有没有看到结尾那顶锡纸帽子?
    登记的帖子有2893个
  22. 仅仅因为路由器有一个“启用VPN”按钮,这并不意味着使用它是一个好主意。

    很久以前是一个商业企业软件开发人员。我们的一个客户在合同中要求将所有的后门都记录在案,所以我审计了我们的代码,删除了所有的后门,只留下一个。1仍然需要使用密钥,并且密钥必须放在服务器上(而不是客户机)。它主要是为预售提供一个30天的许可证密钥,最多为3个客户很容易,无需通过我们的网络许可证管理系统生成密钥。

    因此,即使是我们的后门也需要潜在客户在服务器上做一些事情,而且一次只能启用30天。

    这东西并不难。只是需要把它放在优先位置。输掉一场500万美元的诉讼将使其成为优先事项。

    更新:s /客户/潜在客户

    最后一次编辑TheFu2021年6月24日(星期四)晚上9:31

    3607个帖子|注册
  23. jamesb2147写道:
    jhodge写道:
    “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明Zyxel仍在使用借壳账户运输设备,他们应该承担损害赔偿责任,就像任何其他在2021年犯下这种愚蠢行为的供应商一样。我甚至会说,对于这种恶劣的行为,应该有法定的损害赔偿——比如设备原始零售成本的10倍,以起到威慑作用。

    这在加州是违法的,而且会受到惩罚。

    但不确定是否有其他司法管辖区。


    在加州,如果没有警告用户9999999999个手机用户中有一个被诊断出患有癌症,就会受到处罚,所以不确定这项保护措施是否会被其他州效仿。
    6212个帖子|注册
  24. “邮件中的语言很简洁,但似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道网络黑客是如何把没有暴露在互联网上的设备作为攻击目标的。
    2)谁买了防火墙或网络安全产品却不连接到网络?
    251个帖子|注册
  25. 唯一能用的防火墙就是不插电的电缆


    跟伊朗人说去吧……
    2895个帖子注册
  26. maxz写道:
    “邮件中的语言很简洁,但似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道网络黑客是如何把没有暴露在互联网上的设备作为攻击目标的。
    2)谁买了防火墙或网络安全产品却不连接到网络?


    再保险:2。重视网络稳定和安全的人。有一个完整的实验室的设备作为测试设备/备件。是的,它很贵,但这意味着当你对1)服务器、2)工作站、3)交换机、4)防火墙进行更改时,你不必去猜测会发生什么。
    2895个帖子注册
  27. 斯坦写道:
    唯一能用的防火墙就是不插电的电缆


    跟伊朗人说去吧……


    如果你是以色列情报机构的目标,你可能需要把这些USB接口也粘起来: D
    1057个帖子|注册
  28. Jamjen831写道:
    这一直是我对Zylex(以及类似品牌)的担忧。他们通常是一个非常好的成本效益的解决方案,但你没有背后的大名字来证明解决方案。所以,当糟糕的事情发生时(甚至在思科的世界中也会发生),把它放在合适位置的管理员会受到惩罚。希望他们那时已经向前看了。


    我要指出的是,即使你不再订阅他们的安全服务,至少他们也会提供固件更新。如果同样的问题出现在他们的竞争对手的产品,如Watchguard,许多人甚至没有办法安装更新的固件。
    114个帖子注册
  29. 这已经不是Zyxel第一次出现在新闻中了。我清楚地记得Us Robotics和Zyxel的日子。

    我在十多年前就抛弃了任何硬件防火墙,拒绝在路由器/接入点中使用任何防火墙,更不用说你的电缆或adsl调制解调器了。

    Pfsense为我的家庭或小型企业提供了帮助。机架中任何退役的服务器都可以,如果cpu有AES-NI,你也可以很好地进行vpn连接。我在低至pc引擎设备上运行过它(不幸的是,这些设备直到2021年底都缺货)。目前,我在我的家庭实验室Esxi的VM中运行pfsense。
    57个帖子|注册
  30. 最后一段很有误导性,因为它把Fortinet列在Pulse Secure之前,好像Fortinet的问题比Pulse的更大。

    Pulse Secure已经多次被渗透,即使是在最新的版本中,真正的零日披露,所以呼吁他们是值得的,但Fortinet的唯一问题是在操作系统版本没有更新超过6个月(和那些没有阅读发布说明的人)。

    我在过去安装了许多Juniper SA和MAG,但随着重复的零日和高度宣传的渗透,他们的使用是黑帽的方式,看到一个仍然在使用已经变得罕见。

    但《forinets》却并非如此。不更新与互联网相连的安全设备就像把你的电脑放在公共地方,登录名/密码却贴在电脑的底部:如果你这样做,就不会有隐私可言。在我的记忆中,福提内从来没有过真正的零日。那么为什么要假装不是呢?
    登记的员额有874个
  31. johanpmeert写道:
    这已经不是Zyxel第一次出现在新闻中了。我清楚地记得Us Robotics和Zyxel的日子。

    我在十多年前就抛弃了任何硬件防火墙,拒绝在路由器/接入点中使用任何防火墙,更不用说你的电缆或adsl调制解调器了。

    Pfsense为我的家庭或小型企业提供了帮助。机架中任何退役的服务器都可以,如果cpu有AES-NI,你也可以很好地进行vpn连接。我在低至pc引擎设备上运行过它(不幸的是,这些设备直到2021年底都缺货)。目前,我在我的家庭实验室Esxi的VM中运行pfsense。


    我还没有在任何企业环境中看到基于pfsense的FW。Checkpoint, Fortinet, Palo-Alto, Juniper, Cisco/Meraki, F5, Stormshield(主要是法国本土制造商)。

    家庭/小型办公室事务≠公司事务。
    登记的员额有874个
  32. maxz写道:
    “邮件中的语言很简洁,但似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道网络黑客是如何把没有暴露在互联网上的设备作为攻击目标的。
    2)谁买了防火墙或网络安全产品却不连接到网络?


    公平地说,在企业网络中,在不能直接从internet访问的环境中使用防火墙是很常见的。

    但我不认为Zyxel是这种情况下的玩家。
    登记的帖子有2377个
  33. fknuckles写道:
    maxz写道:
    “邮件中的语言很简洁,但似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道网络黑客是如何把没有暴露在互联网上的设备作为攻击目标的。
    2)谁买了防火墙或网络安全产品却不连接到网络?


    公平地说,在企业网络中,在不能直接从internet访问的环境中使用防火墙是很常见的。

    我不认为Zyxel参与其中尽管这些上下文。

    完全正确。
    251个帖子|注册
  34. 斯坦写道:
    maxz写道:
    “邮件中的语言很简洁,但似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道网络黑客是如何把没有暴露在互联网上的设备作为攻击目标的。
    2)谁买了防火墙或网络安全产品却不连接到网络?


    再保险:2。重视网络稳定和安全的人。有一个完整的实验室的设备作为测试设备/备件。是的,它很贵,但这意味着当你对1)服务器、2)工作站、3)交换机、4)防火墙进行更改时,你不必去猜测会发生什么。

    但是你已经把它们连接到网络(即使它不是互联网),你也会非常愚蠢地关心网络安全,然后去购买廉价的消费级网络产品。对于那些受这些影响的产品所迎合的人来说,这是他们的主要用例,所以这是一个不必要的声明。

    将网络的一部分与其他部分隔离是一回事,但它仍然是一个网络。

    至于稳定性部分,您是否工作在一个环境中,其中有许多网络管理员彼此之间不能正常通信?上次我在一个足够大的网络环境中工作时,我们总是知道当我们更改网络拓扑结构时会发生什么。简单的服务器更改永远不会给网络带来稳定性问题。这听起来像是某人没有完全控制他们所管理的网络和/或有干扰的邻居网络。但我很好奇你的意思,考虑到这是在一个更简单的时代,攻击更少,所以我承认事情变了。
    251个帖子|注册
  35. maxz写道:
    “邮件中的语言很简洁,但似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道网络黑客是如何把没有暴露在互联网上的设备作为攻击目标的。
    2)谁买了防火墙或网络安全产品却不连接到网络?

    报道中引用的声明非常清楚地表明,这是关于将其管理接口暴露给Internet的设备,即允许从WAN端口登录。
    3014个帖子注册|
  36. 斯特恩写道:
    maxz写道:
    “邮件中的语言很简洁,但似乎在说,攻击的目标是暴露在互联网上的设备。”

    读了这句话,我有两个问题:
    1)我很想知道网络黑客是如何把没有暴露在互联网上的设备作为攻击目标的。
    2)谁买了防火墙或网络安全产品却不连接到网络?

    报道中引用的声明非常清楚地表明,这是关于将其管理接口暴露给Internet的设备,即允许从WAN端口登录。

    谢谢你的澄清。
    251个帖子|注册
  37. 出售带有已知后门的网络设备应该是刑事犯罪。


    购买带有已知后门的网络设备应该是一种刑事犯罪。
    1353个帖子|注册
  38. 如果硬编码密码不是后门,那什么才是
    注册了404个帖子
  39. 斯坦写道:
    唯一能用的防火墙就是不插电的电缆


    跟伊朗人说去吧……


    事实上,以色列人必须使用USB进入系统并破坏离心机,但无论如何,他们无法访问工厂的敏感数据。

    “电缆断开”的规则也适用于工厂或办公室的内部,而不仅仅是外部。
    唯一的方法来保护自己以某种方式从网络攻击是分区的内部网络,只允许访问外部通信电脑必要的外部,而不是所有的电脑连接到同一个网络,然后连接外面的,最好是分区尽可能创造更多的内部网络,不是彼此连接,连接到外面,即使以复制打印机或/和电脑为代价。

    这也适用于私人住宅。
    注册了240个帖子

你必须置评。

通道Ars Technica