传入的,

黑客使用未知目标合勤科技防火墙和vpn用户帐户

身份验证旁路攻击允许黑客改变违反网络安全。

促销roucter的形象。

网络设备制造商合勤科技警告客户积极的和正在进行的攻击目标是一系列公司的防火墙和其他安全设备。

在一封电子邮件中,该公司表示,目标设备包括安全设备远程管理或启用SSL VPN,即在美国/ ZyWALL, USG FLEX, ATP, VPN系列运行本地ZLD固件。电子邮件的语言简洁,但它似乎说的攻击目标设备暴露在互联网上。当攻击者成功地访问设备,电子邮件进一步似乎说,然后他们可以连接到未知账户硬连接到设备。

未雨绸缪

“我们意识到形势和工作我们最好的调查和解决它,”电子邮件,这是发布到微博说。“威胁演员试图通过广域网访问设备;如果成功,然后绕过身份验证并建立SSL VPN隧道与未知的用户帐户,如“zyxel_silvpn’,‘zyxel_ts,’或‘zyxel_vpn_test,操作设备的配置”。

目前还不清楚如果受到攻击的弱点是新的或以前。同样不清楚的是有多少客户受到攻击,他们的地理细分,如果攻击成功影响客户设备或简单地试图这样做。

发表声明后,合勤科技官员写道:

最初报道从用户在欧洲,合勤科技意识到的复杂的威胁演员试图访问的一个子集合勤科技安全设备通过WAN为了绕过身份验证和建立SSL VPN隧道与未知的用户帐户。合勤科技目前正在评估攻击向量来确定这是一个已知的或未知的漏洞。

合勤科技发展指导,使用户能够暂时缓解安全事件和包含的威胁。安抚被所有注册用户USG / ZyWALL USG FLEX、ATP、或VPN系列设备。合勤科技正在开发一个固件更新解决用户界面安全实践按照SOP来减少攻击表面。

影响客户的数量是未知的,因为这个时候看来,这些设备被剥削他们的web管理公共可访问和锁定。

到目前为止,可用基于模糊细节漏洞听起来让人想起cve - 2020 - 29583,源于一个非法帐户管理系统权限,使用硬编码密码”船头! aN_fXp。“当合勤科技固定的漏洞今年1月,然而,帐户被列为“zyfwp”这个名字并没有出现在电子邮件合勤科技本周寄给客户。

在任何情况下,客户的电子邮件说,最好的方法来保护自己合勤科技设备,是出版的指导方针在这里。指南包含通用建议如配置电器使用最低特权不充足,修补设备,使用双重认证,谨防钓鱼攻击。

电子邮件是防火墙、vpn、和其他设备使用安全的网络已成为黑客的一个关键矢量推进ransomware——或者espionage-motivated攻击。电器通常坐在网络周边过滤或块交通进入或离开组织。一旦违反,这些设备通常给内部网络攻击者的能力主。

在过去的几年中,漏洞Fortigate SSL VPN和竞争脉冲安全SSL VPN攻击。设备从Sonicwall通过安全漏洞也被破坏。威胁展示安全设备可以减少网络安全当他们不小心锁定。

54岁的读者评论

  1. “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明合勤科技仍然是运输设备后门账户,他们应该承担损害赔偿责任,应该其他供应商提交这个白痴在2021年。我至于说应该有坏行为的法定赔偿——类似10 x设备的原始零售价格作为一种威慑。
    5608个帖子|注册
  2. 为什么任何network-box-widget供应商更严重比人吊起10美元神秘路由器在ebay上可能仍然是容忍存在的硬编码的凭证固件吗?

    如果你担心停工和销售过低/太多的体积保持独特的种每设备密钥;美好的物理复位开关是显而易见的解决方案。

    如果你做一些“管理”/“企业供应商监控”等。你可以和应该能够保持记录匹配的私钥序列号;固定服务帐户,这样你至少有独特的和功能unguessable凭证;这不能仅仅通过倾倒装置中提取(因为所有需要有相应的公钥,而不是明文或散列密码)。

    我(也许不公平)合勤科技的形象上一点,嗯,“价值”一个极端;但这并不改变这两个的事实,至少有一个应该适用于任何在他们的阵容。
    8194个帖子|注册
  3. 我很讨厌垃圾消费者路由器推出融入工厂后门故意。为什么不是这些公司被起诉?
    3560个帖子|注册
  4. 销售网络设备与已知的后门在它应该是一个刑事犯罪。
    5093个帖子|注册
  5. jhodge写道:
    “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明合勤科技仍然是运输设备后门账户,他们应该承担损害赔偿责任,应该其他供应商提交这个白痴在2021年。我至于说应该有坏行为的法定赔偿——类似10 x设备的原始零售价格作为一种威慑。

    这实际上是非法的在加州,有处罚。

    不过,不确定任何其他司法管辖区。
    1044个帖子|注册
  6. 后门通常不被坏演员到位的真实用户希望能够妥协。他们通常到位,因为一个合法业务需要为测试。没有他们,测试无法进行任何代码需要工作账户到账户系统,使之成为一个瓶颈,防止大量的工作程序,直到它完成。

    问题是当他们没有船之前删除。有绝对没有借口航运产品,这些测试账户。很容易构建过程确保所有这些账户是已知的,就被他们不再需要,并验证了测试在实际设备不工作。和这个问题已经太久了。这是非常无能。
    808个帖子|注册
  7. Nop666写道:
    为什么不是这些公司被起诉?


    图像
    5509个帖子|注册
  8. 引用:
    演员试图通过广域网访问设备的威胁;如果成功,然后绕过身份验证并建立SSL VPN隧道与未知的用户帐户,如“zyxel_silvpn’,‘zyxel_ts,’或‘zyxel_vpn_test,操作设备的配置”。

    在这样一个世界公认的公平在消费产品的法律中,这将导致合勤科技不得不支付一定比例的保险索赔使我违反了消费者。

    收缩包装软件法律需要死。随着攻击者越来越先进,用户将继续加速燃烧。
    2060个帖子|注册
  9. Nop666写道:
    我很讨厌垃圾消费者路由器推出融入工厂后门故意。为什么不是这些公司被起诉?


    有一个轻微的这可能是政府规定。

    /锡箔帽子
    2894个帖子|注册
  10. 这一直是我的恐惧与Zylex(和类似的品牌)。他们通常是一个很好的成本效益的解决方案,但你没有证明解决方案背后的大牌。所以当大便变坏(甚至发生与思科的世界),把它放在地方的管理得到了热量。希望他们在这一点上。
    1125个帖子|注册
  11. 想象一下,如果如果他们应对一些愚蠢的事。

    是的有一个硬编码的证书。但它不是从面临的外部访问接口。所以不是我们的错,来自内部的威胁。

    我记得这样的发生在消费者的路由器。
    16616个帖子|注册
  12. Jamjen831写道:
    这一直是我的恐惧与Zylex(和类似的品牌)。他们通常是一个很好的成本效益的解决方案,但你没有证明解决方案背后的大牌。所以当大便变坏(甚至发生与思科的世界),把它放在地方的管理得到了热量。希望他们在这一点上。


    我记得当合勤科技是一个高端品牌。当然,这是当一个现代与MNP10高端2400波特,所以已经有一段时间…
    5608个帖子|注册
  13. jhodge写道:
    Jamjen831写道:
    这一直是我的恐惧与Zylex(和类似的品牌)。他们通常是一个很好的成本效益的解决方案,但你没有证明解决方案背后的大牌。所以当大便变坏(甚至发生与思科的世界),把它放在地方的管理得到了热量。希望他们在这一点上。


    我记得当合勤科技是一个高端品牌。当然,这是当一个现代与MNP10高端2400波特,所以已经有一段时间…


    哈!我不记得我为什么知道这个名字,但你钉…我有一个丑陋的米色现代早在90年代,是一个合勤科技…我一些好的旧计算机服务。
    1057个帖子|注册
  14. 毫不奇怪,一个闭源网络边缘设备不能由第三方审计的安全漏洞。什么令人惊讶的是,任何人都安全使用它们,特别是在光的不良记录。差不多有意义使用专有/未加密密码。

    我知道良好的开源交钥匙像OPNsense防火墙解决方案。但如果我们说什么是相当于企业级VPN家用电器类型的设置吗?合勤科技、脉冲安全等人被热混乱,但我没有看到太多提及一个开源,可以替代他们的各种组织中使用它们的地方。

    (很明显,它必须超过“仅仅”Wireguard或喜欢的东西,因为它会与一个认证/ 2 fa系统集成,钩到一个id,提供一个管理界面,等等)。
    44个帖子|注册
  15. iskunk写道:
    毫不奇怪,一个闭源网络边缘设备不能由第三方审计的安全漏洞。什么令人惊讶的是,任何人都安全使用它们,特别是在光的不良记录。差不多有意义使用专有/未加密密码。

    我知道良好的开源交钥匙像OPNsense防火墙解决方案。但如果我们说什么是相当于企业级VPN家用电器类型的设置吗?合勤科技、脉冲安全等人被热混乱,但我没有看到太多提及一个开源,可以替代他们的各种组织中使用它们的地方。

    (很明显,它必须超过“仅仅”Wireguard或喜欢的东西,因为它会与一个认证/ 2 fa系统集成,钩到一个id,提供一个管理界面,等等)。


    OPNsense和PFsense商业产品,VyOS有点进一步在商业方面,尽管他们确实有一个社区分布。就其价值而言,我使用Vyatta,前任VyOS成功之前在商业环境中。
    5608个帖子|注册
  16. iskunk写道:
    毫不奇怪,一个闭源网络边缘设备不能由第三方审计的安全漏洞。什么令人惊讶的是,任何人都安全使用它们,特别是在光的不良记录。差不多有意义使用专有/未加密密码。

    我知道良好的开源交钥匙像OPNsense防火墙解决方案。但如果我们说什么是相当于企业级VPN家用电器类型的设置吗?合勤科技、脉冲安全等人被热混乱,但我没有看到太多提及一个开源,可以替代他们的各种组织中使用它们的地方。

    (很明显,它必须超过“仅仅”Wireguard或喜欢的东西,因为它会与一个认证/ 2 fa系统集成,钩到一个id,提供一个管理界面,等等)。


    我说这是一个巨大的开放源码的粉丝,但我的大多数企业客户不会碰一个开源的产品,除非它是由像Red Hat或规范,不幸的是。和连续性的角度我可以理解为什么…我的意思是即使Red Hat的世界,看看最近的CentOS崩溃之类的东西。

    肯定有例外,但他们往往不太复杂的开源项目,不完整的安全设备。

    我想看到变化,不要误会我。

    *编辑*更具体地说,他们希望保证项目不仅以失败而告终,而不是开源独有的自然也就会发生更频繁。
    1057个帖子|注册
  17. 合勤科技的主要卖点互联网服务提供商是他们的低价格和(相对)易于帮助台远程管理为用户,根本就是狗屁不通,登录到门户网站,使基本变化。安全超出“敷衍了事”真的不是预算。
    1667个帖子|注册
  18. 唯一的防火墙是不插电的电缆
    240个帖子|注册
  19. jhodge写道:
    OPNsense和PFsense商业产品,VyOS有点进一步在商业方面,尽管他们确实有一个社区分布。就其价值而言,我使用Vyatta,前任VyOS成功之前在商业环境中。

    很有趣,我没有听说过Vyatta / VyOS。

    {OPN, PF}和VyOS似乎都自我标榜为仅次于安全产品,至少经常提到的前两个家庭局域网的讨论。是他们提供的vpn网关的功能水平,feature-wise,与类似的脉冲安全吗?我以为会有一个独立/专用OSS项目。

    ukeandhike写道:
    我说这是一个巨大的开放源码的粉丝,但我的大多数企业客户不会碰一个开源的产品,除非它是由像Red Hat或规范,不幸的是。和连续性的角度我可以理解为什么…我的意思是即使Red Hat的世界,看看最近的CentOS崩溃之类的东西。

    肯定有例外,但他们往往不太复杂的开源项目,不完整的安全设备。

    我想看到变化,不要误会我。

    *编辑*更具体地说,他们希望保证项目不仅以失败而告终,而不是开源独有的自然也就会发生更频繁。

    拥有一个开源的,以后更换是一回事;让组织使用它是另一个!这是80%“我将订购安装如果明天我是推广方案”,20%“事随便提及我的方案下次我们有一个专有的VPN网关安全问题。”
    44个帖子|注册
  20. 有一个轻微的这可能是政府规定。

    /锡箔帽子

    假设一分钟这是真的。政府成功地迫使该公司安装这个后门。

    鉴于这告诉我们多么强大政府,他们为什么要选择让这个故事出版?
    808个帖子|注册
  21. LrdDimwit写道:
    有一个轻微的这可能是政府规定。

    /锡箔帽子

    假设一分钟这是真的。政府成功地迫使该公司安装这个后门。

    鉴于这告诉我们多么强大政府,他们为什么要选择让这个故事出版?


    你看到最后/锡箔帽子吗?
    2894个帖子|注册
  22. 仅仅因为一个路由器有一个“使VPN”按钮,不让使用它的一个好主意。

    很久以前是一个商业企业的软件开发人员。我们的一个客户在他们的合同中所有后门被记录下来,所以我审计我们的代码,并删除了所有但1。1仍然需要使用一个关键关键必须放置在服务器上(而不是客户)。在那里主要是对预售方式提供30天的许可证密钥对最多3客户容易不通过我们的网络许可证管理系统生成密钥。

    所以即使我们后门需要服务器上的潜在客户做,只能使30天。

    这些东西并不困难。它只是需要优先考虑的事情。失去一个5美元的诉讼将优先。

    更新:s /客户/潜在客户

    最后一次编辑TheFu在清华2021年6月24日31点

    3610个帖子|注册
  23. jamesb2147写道:
    jhodge写道:
    “…的vulnerability sounds reminiscent of CVE-2020-29583, which stemmed from an undocumented account with full administrative system rights that used the hardcoded password “PrOw!aN_fXp.”

    如果事实证明合勤科技仍然是运输设备后门账户,他们应该承担损害赔偿责任,应该其他供应商提交这个白痴在2021年。我至于说应该有坏行为的法定赔偿——类似10 x设备的原始零售价格作为一种威慑。

    这实际上是非法的在加州,有处罚。

    不过,不确定任何其他司法管辖区。


    在加州,有处罚不是警告客户,1 9999999999用户的手机被诊断出患有癌症,所以不确定这将复制其他国家的保护。
    6212个帖子|注册
  24. “电子邮件的语言简洁,但它似乎说,袭击目标设备接触到互联网。”

    我从阅读这句话有两个问题:
    1)我很乐意听到网上黑客是如何针对设备不暴露在互联网上。
    2)购买防火墙或网络安全产品,不连接到网络吗?
    251个帖子|注册
  25. 唯一的防火墙是不插电的电缆


    告诉伊朗……
    2895个帖子|注册
  26. maxz写道:
    “电子邮件的语言简洁,但它似乎说,袭击目标设备接触到互联网。”

    我从阅读这句话有两个问题:
    1)我很乐意听到网上黑客是如何针对设备不暴露在互联网上。
    2)购买防火墙或网络安全产品,不连接到网络吗?


    再保险:2。人价值网络的稳定和安全。在那里,这样做的一个完整的实验室设备测试设备/备件。是的,它的昂贵的,但是它意味着你不必猜会发生什么当你做出改变1)服务器,工作站,3)开关、4)防火墙。
    2895个帖子|注册
  27. 斯坦写道:
    唯一的防火墙是不插电的电缆


    告诉伊朗……


    如果你目标为以色列情报机构可能需要胶水的USB端口:D
    1057个帖子|注册
  28. Jamjen831写道:
    这一直是我的恐惧与Zylex(和类似的品牌)。他们通常是一个很好的成本效益的解决方案,但你没有证明解决方案背后的大牌。所以当大便变坏(甚至发生与思科的世界),把它放在地方的管理得到了热量。希望他们在这一点上。


    我虽然指出,至少他们提供固件更新,即使你不再订阅他们的安全服务。如果同样的问题发生在一些竞争对手产品,如沃奇卫士甚至很多人都没有办法安装固件更新。
    114个帖子|注册
  29. 这不是第一次合勤科技这样的新闻。我记得的日子我们机器人和合勤科技很好。

    我扔掉任何硬件防火墙10 +年前,拒绝使用任何在路由器/防火墙访问点,更不用说你的电缆或宽带调制解调器。

    Pfsense的把戏我家庭或小型企业。架中的任何服务器退役,如果cpu AES-NI你不错的vpn连接。我已经低至pc-engines设备上运行它(不幸的是都是缺货直到2021年底)。目前我在虚拟机中运行pfsense homelab Esxi。
    57个帖子|注册
  30. 最后一段相当误导,因为它列出了脉冲安全之前好像Fortinet的问题是比脉冲。

    脉冲安全一再渗透甚至在他们的最新版本与真正的零天披露称他们是理所当然的,但Fortinet的唯一问题是操作系统在超过6个月没有更新的版本(&的人没有阅读发布说明)。

    我安装了许多Juniper SA &杂志过去但是重复零日和高度渗透宣传,使用黑帽,看到一个仍在使用已成为罕见。

    fortinet情况并非如此。保持你的互联网连接安全设备更新是不像离开你的电脑的地方公开登录/密码贴底部:没有隐私的期望,如果你这样做。Fortinet没有一个真正的零天,我记得。那么,为什么假装否则呢?
    874个帖子|注册
  31. johanpmeert写道:
    这不是第一次合勤科技这样的新闻。我记得的日子我们机器人和合勤科技很好。

    我扔掉任何硬件防火墙10 +年前,拒绝使用任何在路由器/防火墙访问点,更不用说你的电缆或宽带调制解调器。

    Pfsense的把戏我家庭或小型企业。架中的任何服务器退役,如果cpu AES-NI你不错的vpn连接。我已经低至pc-engines设备上运行它(不幸的是都是缺货直到2021年底)。目前我在虚拟机中运行pfsense homelab Esxi。


    我还没有看到一个基于pfsense弗兰克-威廉姆斯在任何企业环境。Fortinet检查点,帕洛阿尔托,杜松,思科/ Meraki F5, Stormshield(主要是法国当地制造商),是的。

    家≠公司/小办公室的东西。
    874个帖子|注册
  32. maxz写道:
    “电子邮件的语言简洁,但它似乎说,袭击目标设备接触到互联网。”

    我从阅读这句话有两个问题:
    1)我很乐意听到网上黑客是如何针对设备不暴露在互联网上。
    2)购买防火墙或网络安全产品,不连接到网络吗?


    公平地说,在企业网络中,常见的防火墙在上下文没有从互联网上直接访问。

    我不认为合勤科技是一个球员的上下文。
    2384个帖子|注册
  33. fknuckles写道:
    maxz写道:
    “电子邮件的语言简洁,但它似乎说,袭击目标设备接触到互联网。”

    我从阅读这句话有两个问题:
    1)我很乐意听到网上黑客是如何针对设备不暴露在互联网上。
    2)购买防火墙或网络安全产品,不连接到网络吗?


    公平地说,在企业网络中,常见的防火墙在上下文没有从互联网上直接访问。

    我不认为合勤科技是一个球员尽管这些上下文。

    完全正确。
    251个帖子|注册
  34. 斯坦写道:
    maxz写道:
    “电子邮件的语言简洁,但它似乎说,袭击目标设备接触到互联网。”

    我从阅读这句话有两个问题:
    1)我很乐意听到网上黑客是如何针对设备不暴露在互联网上。
    2)购买防火墙或网络安全产品,不连接到网络吗?


    再保险:2。人价值网络的稳定和安全。在那里,这样做的一个完整的实验室设备测试设备/备件。是的,它的昂贵的,但是它意味着你不必猜会发生什么当你做出改变1)服务器,工作站,3)开关、4)防火墙。

    然后你联系他们网络(即使它不是互联网的资本我),你也会很愚蠢的那么多关心网络安全,然后去买廉价的消费级网络产品。对于那些迎合这些受影响的产品,这是他们的主要用例,所以这是一个不必要的语句。

    保护您的网络的一部分与其他是一回事,但是这仍然是一个网络。

    对于稳定的部分,你在一个环境工作,有很多网络管理员沟通不当呢?上次我曾在一个足够大的网络环境,我们总是知道什么将会发生,当我们改变网络拓扑结构。一个简单的服务器网络变化不会带来稳定问题。这听起来像人没有完全控制的网络管理和/或邻近的网络,影响。但是我很好奇你是什么意思,因为这是在一个简单的时候袭击是少所以我承认事情的变化。
    251个帖子|注册
  35. maxz写道:
    “电子邮件的语言简洁,但它似乎说,袭击目标设备接触到互联网。”

    我从阅读这句话有两个问题:
    1)我很乐意听到网上黑客是如何针对设备不暴露在互联网上。
    2)购买防火墙或网络安全产品,不连接到网络吗?

    声明援引的故事使得它很清楚关于设备暴露他们的网络管理接口,即允许登录从广域网端口。
    3024个帖子|注册
  36. 斯特恩写道:
    maxz写道:
    “电子邮件的语言简洁,但它似乎说,袭击目标设备接触到互联网。”

    我从阅读这句话有两个问题:
    1)我很乐意听到网上黑客是如何针对设备不暴露在互联网上。
    2)购买防火墙或网络安全产品,不连接到网络吗?

    声明援引的故事使得它很清楚关于设备暴露他们的网络管理接口,即允许登录从广域网端口。

    谢谢你的澄清。
    251个帖子|注册
  37. 销售网络设备与已知的后门在它应该是一个刑事犯罪。


    购买网络设备与已知的后门,它应该是一个刑事犯罪。
    1353个帖子|注册
  38. 如果硬编码的密码不是后门那可以
    408个帖子|注册
  39. 斯坦写道:
    唯一的防火墙是不插电的电缆


    告诉伊朗……


    事实上,以色列不得不使用一个USB输入系统和损坏离心机,但在任何情况下,他们没有对敏感数据的访问的工厂。

    “断开连接的电缆”规则也适用于内部的工厂或办公室,不是向外。
    唯一的方法来保护自己以某种方式从网络攻击是分区的内部网络,只允许访问外部通信电脑必要的外部,而不是所有的电脑连接到同一个网络,然后连接外面的,最好是分区尽可能创造更多的内部网络,不是彼此连接,连接到外部,甚至在复制打印机或/和电脑的成本。

    这也适用于私人住宅。
    240个帖子|注册

你必须置评。

通道Ars Technica