Saugokitės! “Zyxel” ugniasienės ir VPN – aktyvios kibernetinės atakos objektas

Taivano tinklo įrangos bendrovė “Zyxel” įspėja klientus apie vykdomą ataką, nukreiptą prieš “nedidelį” jos saugumo produktų, pavyzdžiui, ugniasienių ir VPN serverių, pogrupį.

Įmonė pažymėjo, kad išpuoliai vykdomi tik prieš įrenginius, kuriuose įjungtas nuotolinis valdymas arba SSL VPN, t. y. USG/ZyWALL, USG FLEX, ATP ir VPN serijų įrenginius, kuriuose įdiegta vietinė ZLD programinė įranga, o tai reiškia, kad įrenginiai, prieš kuriuos nukreiptos atakos, yra viešai prieinami internetu.

“Hakeriai bando prisijungti prie įrenginio per WAN; jei tai pavyksta, jis apeina autentifikavimą ir sukuria SSL VPN tunelius su nežinomomis naudotojo paskyromis, pavyzdžiui, “zyxel_slIvpn”, “zyxel_ts” arba “zyxel_vpn_test”, kad galėtų manipuliuoti įrenginio konfigūracija”, – sakoma “Zyxel” el. pašto pranešime, kuriuo buvo pasidalinta “Twitter”.

Šiuo metu nėra iš karto žinoma, ar atakos vykdomos pasinaudojant anksčiau žinomais “Zyxel” įrenginių pažeidžiamumais, ar įsilaužiant į sistemas naudojamasi nulinės dienos trūkumu. Taip pat neaiškus atakos mastas ir paveiktų naudotojų skaičius.

Siekdama sumažinti atakos paviršių, bendrovė rekomenduoja klientams išjungti HTTP/HTTPS paslaugas iš WAN tinklo ir įdiegti riboto geoIP sąrašą, kad nuotolinė prieiga būtų galima tik iš patikimų vietų.

Šių metų pradžioje “Zyxel” ištaisė kritinį pažeidžiamumą savo programinėje įrangoje, kad pašalintų kietai užkoduotą vartotojo paskyrą “zyfwp” (CVE-2020-29583), kuria galėjo piktnaudžiauti užpuolikas, kad prisijungtų su administravimo privilegijomis ir pažeistų įrenginio konfidencialumą, vientisumą ir prieinamumą.

Ši naujovė atsirado tuo metu, kai įmonių VPN ir kiti tinklo įrenginiai tapo pagrindiniu programišių taikiniu keliose kampanijose, kurių tikslas – rasti naujų kelių į įmonių tinklus, suteikiančių grėsmių sukėlėjams galimybę judėti tinkle ir rinkti slaptą informaciją šnipinėjimui ir kitoms finansiškai motyvuotoms operacijoms.