Zyxel USG FLEX y ATP series - Actualización de su dispositivo y TODAS las credenciales para evitar ataques de hackers

Creación - Actualización
Serhii Boiarynov
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si tiene dudas o discrepancias sobre la exactitud de la información en la versión traducida, consulte el artículo original aquí:Versión original

9 de octubre de 2024.

El equipo de Zyxel EMEA ha estado siguiendo la reciente actividad de los actores de amenazas dirigidas a los dispositivos de seguridad Zyxel que fueron previamente objeto de vulnerabilidades. Desde entonces, las contraseñas de administrador no se han cambiado. Se aconseja a los usuarios que actualicen TODAS las cuentas de administrador y TODAS las cuentas de usuario para una protección óptima.

Según nuestra investigación, los actores de la amenaza fueron capaces de robar información de credenciales válidas de vulnerabilidades anteriores y dichas credenciales no se cambiaron, lo que les permite ahora crear túneles VPN SSL con usuarios temporales, como "SUPPOR87", "SUPPOR817" o "VPN", y modificar las políticas de seguridad para proporcionarles acceso al dispositivo y a la red.

Productos afectados

ATP, USG FLEX Series en Modo On-Premise con gestión remota o SSL VPN habilitada, en cualquier momento en el pasado, y cuyas credenciales de administrador y usuario NO hayan sido actualizadas.

Las vulnerabilidades anteriores se vieron afectadas en versiones de firmware anteriores: ZLD V4.32 a ZLD 5.38.

Los que ejecutan el modo de gestión en la nube Nebula NO están afectados.

¿Cómo saber si su cortafuegos está afectado?

En el momento de redactar este documento, los síntomas de un cortafuegos afectado son los siguientes:

  • Conexión SSL VPN desde el usuario(s) "SUPPORT87", "SUPPOR817", "VPN" o usuario VPN existente creado por usted, y las credenciales fueron comprometidas:

  • Admin y SSL VPN inicios de sesión de usuario desde direcciones IP no reconocidas. Aunque la mayoría de las conexiones proceden de otras partes del mundo, hemos visto a hackers conectándose desde países europeos, posiblemente utilizando otros servicios VPN.
  • Si SecuReporter está activado para su dispositivo, la actividad y los registros muestran que los atacantes se conectan utilizando las credenciales de los administradores y, a continuación, crean los usuarios VPN SSL y los eliminan después de utilizar la conexión VPN.
  • Políticas de seguridad creadas o modificadas, abriendo el acceso de ANY a ANY o de SSL VPN a Zywall y LAN, así como abriendo WAN a LAN para reglas NAT existentes.

  • En algunos casos en los que se utiliza AD y sus credenciales de administrador también fueron robadas, el hacker utiliza la conexión SSL VPN para acceder al servidor AD y cifrar archivos.

¿Qué puede hacer si encuentra los puntos mencionados en su dispositivo?

  • Acción correctiva: Proceda a actualizar su dispositivo al LATEST Firmware 5.39 si aún no está actualizado.
  • Acción correctiva: Cambie TODAS las contraseñas. Por favor, NO utilice la misma contraseña utilizada en el pasado.
    • TODAS las contraseñas de las cuentas Admin
    • TODAS las contraseñas de las cuentas de usuario, incluidas las cuentas locales y de Active Directory.
    • La clave precompartida de la configuración VPN (acceso remoto y VPN de sitio a sitio).
    • La contraseña de administrador con servidor de autenticación externo (servidor AD y Radius)
  • Acción correctiva: Elimine todas las cuentas de administrador y de usuario desconocidas si aún se encuentra alguna.
  • Acción correctiva: Forzar el cierre de sesión de los usuarios y administradores no reconocidos.
  • Acción correctiva: Eliminar las reglas del cortafuegos que no estén destinadas a permitir todos los accesos desde WAN, Zonas VPN SSL o Cualquiera.

Prácticas recomendadas para la configuración del cortafuegos

Revise la configuración del Cortafuegos.

  • Protéjalo con la función GEO IP Country de la Asistencia para la configuración desu ubicación .
  • Asegúrese de configurar todas las demás conexiones no confiables desde la WAN a ZyWALL en una regla "deny" de posición inferior a las reglas allow.

Cambios de Puerto

Nota: Ten cuidado - modifica primero el Firewall, y si te autoconectas por SSL VPN, te reconectará; no te bloquees

Configurar el inicio de sesión de 2 factores: Asistencia para la configuración

Añadir una clave de cifrado privada para el archivo de configuración

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0
Compartir