Důležité upozornění: |
9. října 2024.
Tým Zyxel EMEA sledoval nedávnou aktivitu aktérů hrozeb zaměřených na bezpečnostní zařízení Zyxel, která byla dříve předmětem zranitelností. Od té doby nebyla hesla správce změněna. Uživatelům doporučujeme, aby pro optimální ochranu aktualizovali VŠECHNY administrátorské a VŠECHNY uživatelské účty.
Na základě našeho vyšetřování se aktérům hrozeb podařilo ukrást platné přihlašovací údaje z předchozích zranitelností a tyto údaje nebyly změněny, což jim nyní umožnilo vytvořit tunely SSL VPN s dočasnými uživateli, například "SUPPOR87", "SUPPOR817" nebo "VPN", a upravit zásady zabezpečení tak, aby jim umožnily přístup k zařízení a síti.
Postižené produkty
ATP, USG FLEX Series v režimu On-Premise s povolenou vzdálenou správou nebo SSL VPN, kdykoli v minulosti, a jejichž přihlašovací údaje správců a uživatelů NEBYLY aktualizovány.
Předchozí zranitelnosti se týkaly předchozí verze firmwaru: ZLD V4.32 až ZLD 5.38.
Ty, které používají režim správy cloudu Nebula, postiženyNEJSOU .
Jak zjistit, zda je váš firewall postižen?
V době psaní tohoto článku vykazují příznaky napadeného firewallu následující znaky:
- Připojení SSL VPN od uživatele (uživatelů) "SUPPORT87", "SUPPOR817", "VPN" nebo existujícího uživatele VPN, kterého jste vytvořili, a přihlašovací údaje byly kompromitovány:
- Přihlášení správce a uživatele SSL VPN z nerozpoznaných IP adres. Ačkoli většina připojení pochází z jiných částí světa, zaznamenali jsme i připojení hackerů z evropských zemí, případně pomocí jiných služeb VPN.
- Pokud je pro vaše zařízení povolena funkce SecuReporter, v části Aktivita a protokoly je vidět, že se útočníci připojují pomocí přihlašovacích údajů administrátorů a poté vytvářejí uživatele SSL VPN a po použití připojení k síti VPN je odstraní.
- Vytvořené nebo upravené zásady zabezpečení, otevření přístupu z ANY do ANY nebo z SSL VPN do Zywall a LAN, stejně jako otevření WAN do LAN pro stávající pravidla NAT.
- V některých případech, kdy je používán server AD a jeho přihlašovací údaje správce byly rovněž odcizeny, hacker použije připojení SSL VPN k přístupu k serveru AD a k šifrování souborů.
Co můžete dělat, pokud na svém zařízení zjistíte výše uvedené body?
- Akce k nápravě: V případě, že se vám podařilo odstranit zařízení, které bylo připojeno k internetu, můžete se obrátit na správce: Pokud zařízení stále není aktualizováno, přikročte k aktualizaci na nejnovější firmware 5.39.
- Nápravná akce: V případě, že se vám podařilo obnovit zařízení, které je v současné době v provozu, můžete provést opravu: Změňte VŠECHNA hesla. NEPOUŽÍVEJTE stejná hesla, která jste používali v minulosti.
- VŠECHNA hesla účtů správce
- Hesla VŠECH uživatelských účtů, včetně místních účtů a účtů Active Directory.
- Klíč pro předběžné sdílení nastavení sítě VPN (Vzdálený přístup a Site to Site VPN).
- Heslo správce s externím autentizačním serverem (server AD a Radius).
- Opravná akce: Odstraňte všechny neznámé účty správce a uživatelské účty, pokud se ještě nějaké nacházejí.
- Opravná akce: Vynuťte odhlášení uživatelů a správců, kteří nejsou rozpoznáni.
- Opravná akce: Odstraňte pravidla brány firewall, která nemají povolit všechny přístupy z WAN, zón SSL VPN nebo libovolné.
Osvědčené postupy konfigurace brány firewall
Zkontrolujte konfiguraci brány firewall.
- Chraňte ji pomocí funkce GEO IP Country z asistence při nastaveníumístění.
- Ujistěte se, že všechna ostatní nedůvěryhodná připojení z WAN k síti ZyWALL jsou nastavena na nižší pozici pravidla "deny" než pravidla "allow".
Změny portů
Poznámka: Buďte opatrní - proto nejprve upravte Firewall, a pokud se sami připojíte pomocí SSL VPN, znovu vás připojí; neblokujte se.
- Změňte port HTTPS na jiný port: Pomoc při nastavení
- Změňte port pro SSL VPN na jiný port, který se nepřekrývá s portem GUI HTTPS: Pomoc při nastavení
Nastavení dvoufaktorového přihlášení: Asistence při nastavení
Přidání soukromého šifrovacího klíče pro konfigurační soubor