Ważna informacja: |
9 października 2024 roku.
Zespół Zyxel EMEA śledził niedawną aktywność podmiotów atakujących urządzenia zabezpieczające Zyxel, które wcześniej były podatne na ataki. Od tego czasu hasła administratorów nie zostały zmienione. Użytkownikom zaleca się aktualizację WSZYSTKICH kont administratorów i WSZYSTKICH kont użytkowników w celu zapewnienia optymalnej ochrony.
W oparciu o nasze dochodzenie, aktorzy zagrożeń byli w stanie wykraść ważne dane uwierzytelniające z poprzednich luk w zabezpieczeniach i takie dane uwierzytelniające nie zostały zmienione, co pozwoliło im teraz tworzyć tunele SSL VPN z tymczasowymi użytkownikami, takimi jak "SUPPOR87", "SUPPOR817" lub "VPN", i modyfikować zasady bezpieczeństwa, aby zapewnić im dostęp do urządzenia i sieci.
Produkty, których dotyczy problem
ATP, USG FLEX Series w trybie On-Premise z włączonym zdalnym zarządzaniem lub SSL VPN, w dowolnym momencie w przeszłości, a poświadczenia administratorów i użytkowników NIE zostały zaktualizowane.
Poprzednie luki występowały w poprzednich wersjach oprogramowania układowego: ZLD V4.32 do ZLD 5.38.
Osoby korzystające z trybu zarządzania chmurą Nebula NIE są zagrożone.
Jak sprawdzić, czy dotyczy to firewalla?
W chwili pisania tego tekstu objawy naruszonej zapory sieciowej są następujące:
- Połączenie SSL VPN od użytkowników "SUPPORT87", "SUPPOR817", "VPN" lub istniejącego użytkownika VPN, który został utworzony, a poświadczenia zostały naruszone:
- logowania administratora i użytkownika SSL VPN z nierozpoznanych adresów IP. Chociaż większość połączeń pochodzi z innych części świata, widzieliśmy hakerów łączących się z krajów europejskich, prawdopodobnie korzystających z innych usług VPN.
- Jeśli SecuReporter jest włączony dla twojego urządzenia, Aktywność i dzienniki pokazują atakujących łączących się przy użyciu poświadczeń administratorów, a następnie tworzących użytkowników SSL VPN i usuwających ich po użyciu połączenia VPN.
- Utworzone lub zmodyfikowane polityki bezpieczeństwa, otwierające dostęp z ANY do ANY lub z SSL VPN do Zywall i LAN, a także otwierające WAN do LAN dla istniejących reguł NAT.
- W niektórych przypadkach, gdy używana jest usługa AD, a jej poświadczenia administratora również zostały skradzione, haker używa połączenia SSL VPN, aby uzyskać dostęp do serwera AD i zaszyfrować pliki.
Co możesz zrobić, jeśli znajdziesz wyżej wymienione punkty na swoim urządzeniu?
- Działanie naprawcze: Zaktualizuj swoje urządzenie do najnowszej wersji oprogramowania sprzętowego 5.39, jeśli nadal nie zostało zaktualizowane.
- Działanie naprawcze: Zmień WSZYSTKIE hasła. NIE używaj tego samego hasła, które było używane w przeszłości.
- WSZYSTKIE hasła kont administratorów
- WSZYSTKIE hasła do kont użytkowników, w tym kont lokalnych i kont Active Directory.
- Klucz wstępnego udostępniania ustawień VPN (dostęp zdalny i VPN między lokacjami).
- Hasło administratora z zewnętrznym serwerem uwierzytelniania (serwer AD i Radius)
- Działanie naprawcze: Usunięcie wszystkich nieznanych kont administratorów i użytkowników, jeśli takie nadal występują.
- Akcja naprawcza: Wymuś wylogowanie użytkowników i administratorów, którzy nie zostali rozpoznani.
- Akcja naprawcza: Usunięcie reguł zapory sieciowej, które nie zezwalają na dostęp z sieci WAN, stref SSL VPN lub innych.
Najlepsze praktyki konfiguracji zapory sieciowej
Przejrzyj konfigurację zapory sieciowej.
- Chroń to za pomocą funkcji GEO IP Country z pomocy konfiguracjilokalizacji
- Upewnij się, że wszystkie inne niezaufane połączenia z WAN do ZyWALL są ustawione w regule "deny" na niższej pozycji niż reguły zezwalające.
Zmiany portów
Uwaga: Bądź ostrożny - najpierw zmodyfikuj zaporę ogniową, a jeśli połączysz się samodzielnie przez SSL VPN, połączy Cię ponownie; nie blokuj się
- Zmień port HTTPS na inny: Setup Assistance
- Zmień port dla SSL VPN na inny, który nie pokrywa się z portem HTTPS GUI: Pomoc w konfiguracji
Konfiguracja logowania 2-czynnikowego: Pomoc w konfiguracji
Dodaj prywatny klucz szyfrowania dla pliku konfiguracyjnego