CISO Advisor: 257.104 page views/mês - 97.376 usuários/mês - 5.277 assinantes

Network Rede Firewall Cdn

Zyxel alerta para ataques sofisticados a seus firewalls

Da Redação
25/06/2021

A Zyxel publicou ontem e atualizou hoje um alerta sobre ataques sofisticados a seus firewalls. Com o título de “Alerta de incidente de segurança – série Firewall”, a empresa explica que “recentemente, ficamos sabendo da existência de um agente de ameaça sofisticado visando dispositivos de segurança Zyxel com gerenciamento remoto ou SSL VPN habilitado, nas séries USG / ZyWALL, USG FLEX, ATP e VPN. O ator da ameaça tenta acessar um dispositivo por meio da WAN; se for bem-sucedido, eles ignoram a autenticação e estabelecem túneis VPN SSL com contas de usuário desconhecidas, como “zyxel_sllvpn ”,“ zyxel_ts ”ou“ zyxel_vpn_test ”, para manipular a configuração do dispositivo. Agimos imediatamente após identificar o incidente. Com base em nossa investigação até o momento, acreditamos que manter uma política de segurança adequada para acesso remoto pode proteger com eficácia contra a ameaça. Portanto, lançamos um SOP para orientá-lo na configuração de sua política de acesso remoto e também estamos trabalhando em um hotfix com outras contramedidas para mitigar a ameaça”.

Veja isso
Dispositivos Zyxel têm conta privilegiada e não documentada
O que a microssegmentação faz – e que o firewall não pode fazer

Os produtos afetados são: VPN, ZyWALL, USG, ATP, USG FLEX Series no modo On-Premise. As versões de firmware afetadas são “FCS / date codes / weekly version”.

Havendo invasão, a Zyxel informou que podem aparecer problemas de:

  • VPN
  • Roteamento
  • Tráfego
  • Login
  • Parâmetros de configuração desconhecidos
  • Senha

Junto com a nota de alerta a empresa publicou cinco vídeos mostrando como resolver os principais problemas, entre os quais a existência de contas de VPN criadas pelos invasores. As mudanças de configuração do firewall indicam a invasão. Elas podem ser:

  • Contas de adm
  • Políticas de roteamento desconhecidas
  • Regra de firewall desconhecida
  • Setup de SSL / VPN desconhecido (em geral os atacantes estão criando usuários com os nomes de “zyxel_ts” ou “zyxel_sllvpn” ou “sslvpn_index” ou “zyxel_vpn_test” – mesmo nome do setup de VPN

A empresa recomenda desabilitar os serviços HTTP e HTTPS do lado da WAN. Para aqueles que precisam gerenciar dispositivos do lado da WAN, ele recomenda restringir o acesso a endereços de Internet de origem confiável e habilitar a filtragem GeoIP. Ela também enfatiza que os administradores precisam alterar as senhas e configurar a autenticação de dois fatores. 

Compartilhar: