黑客正在使用未知的用户帐户来定位Zyxel防火墙和VPN
网络设备制造商Zyxel是有效和持续攻击的警告客户,这些客户是针对公司的防火墙和其他类型的安全设备的范围。
在电子邮件中,该公司表示,目标设备包括具有启用远程管理或SSL VPN的安全设备,即在USG / ZyWall,USG Flex,ATP和VPN系列上运行的ZLD固件运行。电子邮件中的语言是简洁的,但似乎可以说攻击被暴露于互联网的目标设备。当攻击者成功访问设备时,电子邮件进一步似乎可以说,它们可以连接到先前未知的帐户硬连线到设备中。
“我们意识到这种情况,并一直在努力调查和解决它,”发布到Twitter的电子邮件说。 “威胁演员尝试通过WAN访问设备;如果成功,他们然后绕过身份验证并使用未知的用户帐户建立SSL VPN隧道,例如“Zyxel_Silvpn,”zyxel_ts,“或”zyxel_vpn_test“,以操纵设备' s配置。”
如果攻击的弱点是新的或以前已知的,则仍然不清楚。同样不清楚是有多少客户受到攻击,他们的地理故障是什么,以及攻击成功损害客户设备或只是试图这样做。
最初从欧洲用户报告,Zyxel意识到一种复杂的威胁演员,试图通过WAN访问Zyxel安全设备的子集,以便绕过身份验证并建立具有未知用户帐户的SSL VPN隧道。 Zyxel目前正在评估攻击向量,以确定这是否是已知的或未知的漏洞。
Zyxel开发了指导,使用户能够暂时减轻安全事件并包含威胁。 SOP已发送给USG / Zywall,USG Flex,ATP或VPN系列设备的所有注册用户。 Zyxel正在开发一个固件更新,以解决如SOP中所述的用户界面安全实践,以减少攻击表面。
此时受影响的客户的数量是未知的,因为似乎被剥削的设备具有可公开访问的Web管理,并且不会被锁定。
基于迄今为止可用的模糊细节,漏洞听起来让人想起CVE-2020-29583,该CVE-2020-29583源于具有使用硬编码密码“PROW!AN_FXP”的完整管理系统权利的无证账户。然而,当Zyxel在1月份修复漏洞时,该帐户被列为“ZYFWP”,该名称不会出现在本周向客户发送给客户的电子邮件Zyxel中。
在任何情况下,所述电子邮件都表示,客户保护其Zyxel设备的最佳方式是遵循在此发布的指南。该指南包含通用建议,例如使用最低特权可能,修补设备,使用双因素身份验证以及遗骸的网络钓鱼攻击威胁。
该电子邮件作为防火墙,VPN和用于保护网络的其他设备被出现为黑客推动Ransomware或间谍活动攻击的密钥矢量。设备通常位于网络周边,以过滤或阻止移动到组织或脱离组织的流量。突破后,这些设备通常会使攻击者能够枢转到内部网络。
在过去几年中,FortiGate SSL VPN中的漏洞以及竞争脉冲安全SSL VPN遭到攻击。来自SonicWALL的设备也通过安全漏洞受到损害。威胁显示安全设备如何在不仔细锁定时实际上可以使网络更不安全。
