Серии Zyxel USG FLEX и ATP - Актуализиране на устройството и на всички удостоверения за избягване на хакерски атаки

Създаден - Обновено
Serhii Boiarynov
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

9 октомври 2024 г.

Екипът на Zyxel EMEA проследява неотдавнашната дейност на участници в заплахи, насочени към устройства за сигурност на Zyxel, които преди това са били обект на уязвимости. Оттогава паролите на администраторите не са били променяни. На потребителите се препоръчва да актуализират ВСИЧКИ администраторски и ВСИЧКИ потребителски акаунти за оптимална защита.

Въз основа на нашето разследване участниците в заплахите са успели да откраднат валидна информация за пълномощията от предишни уязвимости и тези пълномощия не са били променени, което им позволява сега да създават SSL VPN тунели с временни потребители, като например "SUPPOR87", "SUPPOR817" или "VPN", и да променят политиките за сигурност, за да им осигурят достъп до устройството и мрежата.

Засегнати продукти

ATP, USG FLEX Series в локален режим с включено отдалечено управление или SSL VPN, в който и да е момент в миналото, и чиито идентификационни данни на администраторите и потребителите НЕ са били актуализирани.

Предишните уязвимости са били засегнати при предишна версия на фърмуера: ZLD V4.32 до ZLD 5.38.

Тези, които работят в режим на управление в облак Nebula, НЕ са засегнати.

Как да разберете дали вашата защитна стена е засегната?

Към момента на писане на статията симптомите на компрометирана защитна стена се проявяват по следния начин:

  • SSL VPN връзка от потребител(и) "SUPPORT87", "SUPPOR817", "VPN" или съществуващ VPN потребител, който сте създали, и идентификационните данни са компрометирани:

  • Влизане на администратор и SSL VPN потребител от неразпознати IP адреси. Въпреки че повечето от връзките идват от други части на света, видяхме хакери, които се свързват от европейски държави, вероятно използвайки други VPN услуги.
  • Ако SecuReporter е активиран за вашето устройство, Activity and Logs (Дейност и дневници) показва, че нападателите се свързват, използвайки идентификационните данни на администраторите, след което създават SSL VPN потребители и ги изтриват след използването на VPN връзката.
  • Създадени или модифицирани политики за сигурност, отварящи достъп от ANY към ANY или от SSL VPN към Zywall и LAN, както и отварящи WAN към LAN за съществуващи NAT правила.

  • В някои случаи, когато се използва AD и неговите администраторски данни също са били откраднати, хакерът използва SSL VPN връзката за достъп до AD сървъра и криптиране на файлове.

Какво можете да направите, ако откриете гореспоменатите точки на вашето устройство?

  • Действие за отстраняване на неизправности: Пристъпете към обновяване на устройството до НАЙ-ДОБРИЯ фърмуер 5.39, ако то все още не е обновено.
  • Коригиращо действие: Променете ВСИЧКИ пароли. Моля, НЕ използвайте същата парола, използвана в миналото.
    • ВСИЧКИ пароли за администраторски акаунти
    • ВСИЧКИ пароли на потребителски акаунти, включително акаунти в Local и Active Directory.
    • Ключът за предварително споделяне на настройките на VPN (отдалечен достъп и VPN между сайтове)
    • Паролата на администратора с външен сървър за проверка на автентичността (AD сървър и Radius)
  • Действие за отстраняване: Премахнете всички неизвестни администраторски и потребителски акаунти, ако все още има такива.
  • Действие за отстраняване: Принудително изключване на потребители и администратори, които не са разпознати.
  • Действие за поправка: Премахнете правилата на защитната стена, които не са предназначени да разрешават всички видове достъп от WAN, SSL VPN зони или всякакви.

Най-добри практики за конфигуриране на защитната стена

Прегледайте конфигурацията на защитната стена.

  • Защитете я с помощта на функцията GEO IP Country от помощ при конфигуриране навашето местоположение
  • Уверете се, че сте настроили всички други недоверителни връзки от WAN към ZyWALL в правило "deny" на по-ниска позиция от правилата за разрешаване.

Промени в портовете

Забележка: Бъдете внимателни - затова първо модифицирайте защитната стена и ако се самосвържете чрез SSL VPN, тя ще ви свърже отново; не се блокирайте

Настройка на 2-факторно влизане: Помощ при настройката

Добавяне на частен ключ за шифроване за вашия конфигурационен файл

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне