Zyxel USG FLEX- und ATP-Serie - Aktualisieren Sie Ihr Gerät und ALLE Anmeldeinformationen, um Hackerangriffe zu vermeiden

Erstellt - Aktualisiert
Serhii Boiarynov
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

9. Oktober 2024.

Das EMEA-Team von Zyxel hat die jüngsten Aktivitäten von Bedrohungsakteuren verfolgt, die es auf Zyxel Security Appliances abgesehen haben, die zuvor von Sicherheitslücken betroffen waren. Seitdem wurden die Admin-Passwörter nicht mehr geändert. Benutzern wird empfohlen, ALLE Administratoren und ALLE Benutzerkonten zu aktualisieren, um optimalen Schutz zu gewährleisten.

Unsere Untersuchungen haben ergeben, dass die Bedrohungsakteure in der Lage waren, gültige Anmeldeinformationen von früheren Schwachstellen zu stehlen, und dass diese Anmeldeinformationen nicht geändert wurden. Dadurch konnten sie nun SSL-VPN-Tunnel mit temporären Benutzern wie "SUPPOR87", "SUPPOR817" oder "VPN" erstellen und die Sicherheitsrichtlinien so ändern, dass sie Zugriff auf das Gerät und das Netzwerk erhalten.

Betroffene Produkte

ATP, USG FLEX Series im Vor-Ort-Modus mit aktivierter Remote-Verwaltung oder SSL-VPN, zu einem beliebigen Zeitpunkt in der Vergangenheit, und bei denen die Anmeldeinformationen der Administratoren und Benutzer NICHT aktualisiert wurden.

Frühere Schwachstellen waren bei früheren Firmware-Versionen betroffen: ZLD V4.32 bis ZLD 5.38.

Diejenigen, die den Cloud-Management-Modus Nebula verwenden, sind NICHT betroffen.

Wie finde ich heraus, ob meine Firewall betroffen ist?

Zum Zeitpunkt der Erstellung dieses Dokuments zeigen sich die folgenden Symptome einer gefährdeten Firewall:

  • SSL-VPN-Verbindung von Benutzer(n) "SUPPORT87", "SUPPOR817", "VPN" oder einem bestehenden VPN-Benutzer, den Sie erstellt haben, und die Anmeldedaten wurden kompromittiert:

  • Admin- und SSL-VPN-Benutzeranmeldungen von nicht erkannten IP-Adressen. Während die meisten Verbindungen aus anderen Teilen der Welt kommen, haben wir Hacker gesehen, die sich von europäischen Ländern aus anmelden, möglicherweise über andere VPN-Dienste.
  • Wenn SecuReporter für Ihr Gerät aktiviert ist, zeigen die Aktivitäten und Protokolle, dass sich die Angreifer mit den Anmeldedaten des Administrators anmelden, SSL-VPN-Benutzer erstellen und diese nach der Nutzung der VPN-Verbindung wieder löschen.
  • Erstellen oder Ändern von Sicherheitsrichtlinien, Öffnen des Zugangs von ANY zu ANY oder von SSL VPN zu Zywall und LAN sowie Öffnen von WAN zu LAN für bestehende NAT-Regeln.

  • In einigen Fällen, in denen AD verwendet wird und dessen Administrator-Anmeldeinformationen ebenfalls gestohlen wurden, verwendet der Hacker die SSL-VPN-Verbindung, um auf den AD-Server zuzugreifen und Dateien zu verschlüsseln.

Was können Sie tun, wenn Sie die oben erwähnten Punkte auf Ihrem Gerät finden?

  • Abhilfe schaffen: Aktualisieren Sie Ihr Gerät auf die NEUESTE Firmware 5.39, falls es noch nicht aktualisiert wurde.
  • Behebungsmaßnahme: Ändern Sie ALLE Passwörter. Bitte verwenden Sie NICHT das gleiche Passwort, das Sie in der Vergangenheit verwendet haben.
    • ALLE Passwörter für Admin-Konten
    • ALLE Passwörter für Benutzerkonten, einschließlich lokaler und Active Directory-Konten.
    • Der Pre-Share-Schlüssel Ihrer VPN-Einstellungen (Remote Access und Site to Site VPN)
    • Das Administratorkennwort für den externen Authentifizierungsserver (AD-Server und Radius)
  • Aktion beheben: Entfernen Sie alle unbekannten Admin- und Benutzerkonten, falls noch welche gefunden werden.
  • Behebungsmaßnahme: Erzwingen Sie die Abmeldung von Benutzern und Admins, die nicht erkannt werden.
  • Aktion beheben: Entfernen Sie Firewall-Regeln, die nicht alle Zugriffe aus WAN, SSL-VPN-Zonen oder beliebigen Zonen zulassen sollen.

Best Practice der Firewall-Konfiguration

Überprüfen Sie die Firewall-Konfiguration.

  • Schützen Sie diese mit der GEO-IP-Länderfunktion Ihrer Standort-Einrichtungshilfe
  • Stellen Sie sicher, dass alle anderen nicht vertrauenswürdigen Verbindungen vom WAN zur ZyWALL mit einer "Deny"-Regel versehen werden, die niedriger als die Zulassen-Regeln ist.

Port-Änderungen

Hinweis: Seien Sie vorsichtig - ändern Sie also zuerst die Firewall, und wenn Sie sich per SSL-VPN selbst verbinden, wird sie Sie wieder verbinden; blockieren Sie sich nicht selbst

2-Faktor-Anmeldung einrichten: Unterstützung bei der Einrichtung

Hinzufügen eines privaten Verschlüsselungsschlüssels für Ihre Konfigurationsdatei

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen