Zyxel USG FLEX- och ATP-serien - Uppgradera din enhet och ALLA inloggningsuppgifter för att undvika hackarattacker

Den ⁹ oktober 2024.

Zyxel EMEA-teamet har spårat den senaste aktiviteten hos hotaktörer som riktar sig mot Zyxel-säkerhetsapparater som tidigare var föremål för sårbarheter. Sedan dess har administratörslösenorden inte ändrats. Användare uppmanas att uppdatera ALLA administratörer och ALLA användarkonton för optimalt skydd.

Baserat på vår undersökning kunde hotaktörerna stjäla giltig information om referenser från tidigare sårbarheter och sådana referenser ändrades inte, vilket gjorde att de nu kunde skapa SSL VPN-tunnlar med tillfälliga användare, till exempel "SUPPOR87", "SUPPOR817" eller "VPN", och ändra säkerhetspolicyerna för att ge dem åtkomst till enheten och nätverket.

Berörda produkter

ATP, USG FLEX Series i On-Premise Mode med fjärrhantering eller SSL VPN aktiverat, vid någon tidpunkt tidigare, och där administratörers och användares autentiseringsuppgifter INTE har uppdaterats.

Tidigare sårbarheter påverkades av tidigare firmwareversioner: ZLD V4.32 till ZLD 5.38.

De som kör molnhanteringsläget Nebula påverkasINTE.

Hur tar jag reda på om din brandvägg påverkas?

I skrivande stund uppvisar symptomen på en komprometterad brandvägg följande:

• SSL VPN-anslutning från användare "SUPPORT87", "SUPPOR817", "VPN" eller befintlig VPN-användare som du skapade, och autentiseringsuppgifterna äventyrades:

• Admin- och SSL VPN-användarinloggningar från icke-erkända IP-adresser. Även om de flesta anslutningarna kommer från andra delar av världen har vi sett hackare ansluta från europeiska länder, eventuellt med hjälp av andra VPN-tjänster.
• Om SecuReporter är aktiverat för din enhet visar Activity and Logs att angriparna ansluter med administratörsuppgifter och sedan skapar SSL VPN-användare och tar bort dem efter att VPN-anslutningen har använts.
• Säkerhetspolicyer skapade eller modifierade, öppnade åtkomst från ALLA till ALLA eller från SSL VPN till Zywall och LAN, samt öppnade WAN till LAN för befintliga NAT-regler.

• I vissa fall där AD används och dess administratörsuppgifter också stulits, använder hackaren SSL VPN-anslutningen för att komma åt AD-servern och kryptera filer.

Vad kan du göra om du hittar de ovan nämnda punkterna på din enhet?

• Åtgärda åtgärden: Fortsätt att uppgradera din enhet till SENASTE Firmware 5.39 om den fortfarande inte är uppgraderad.
• Åtgärda problemet: Ändra ALLA lösenord. Använd INTE samma lösenord som du har använt tidigare.
  • ALLA lösenord för administratörskonton
  • ALLA lösenord för användarkonton, inklusive lokala konton och Active Directory-konton.
  • Pre-share-nyckeln i dina VPN-inställningar (fjärråtkomst och VPN mellan platser)
  • Administratörslösenordet med extern autentiseringsserver (AD-server och Radius)
• Åtgärda problemet: Ta bort alla okända administratörs- och användarkonton om några fortfarande finns kvar.
• Åtgärda problemet: Tvinga fram utloggning av användare och administratörer som inte känns igen.
• Åtgärda åtgärd: Ta bort brandväggsregler som inte är avsedda att tillåta all åtkomst från WAN, SSL VPN-zoner eller andra.

Bästa praxis för brandväggskonfigurationen

Granska brandväggskonfigurationen.

• Skydda detta med funktionen GEO IP Country från din plats Setup Assistance
• Se till att konfigurera alla andra icke betrodda anslutningar från WAN till ZyWALL med en "deny"-regel som är lägre än "allow"-reglerna.

Portändringar

Obs: Var försiktig - så ändra brandväggen först, och om du självansluter med SSL VPN kommer den att ansluta dig igen; blockera inte dig själv

• Byt HTTPS-port till en annan port: Hjälp med installation
• Byt port för SSL VPN till en annan port som inte överlappar HTTPS GUI-port: Setup Assistance

Konfigurera 2-faktorinloggning: Hjälp med inställningar

Lägg till en privat krypteringsnyckel för din konfigurationsfil