A Zyxel publicou ontem e atualizou hoje um alerta sobre ataques sofisticados a seus firewalls. Com o título de “Alerta de incidente de segurança – série Firewall”, a empresa explica que “recentemente, ficamos sabendo da existência de um agente de ameaça sofisticado visando dispositivos de segurança Zyxel com gerenciamento remoto ou SSL VPN habilitado, nas séries USG / ZyWALL, USG FLEX, ATP e VPN. O ator da ameaça tenta acessar um dispositivo por meio da WAN; se for bem-sucedido, eles ignoram a autenticação e estabelecem túneis VPN SSL com contas de usuário desconhecidas, como “zyxel_sllvpn ”,“ zyxel_ts ”ou“ zyxel_vpn_test ”, para manipular a configuração do dispositivo. Agimos imediatamente após identificar o incidente. Com base em nossa investigação até o momento, acreditamos que manter uma política de segurança adequada para acesso remoto pode proteger com eficácia contra a ameaça. Portanto, lançamos um SOP para orientá-lo na configuração de sua política de acesso remoto e também estamos trabalhando em um hotfix com outras contramedidas para mitigar a ameaça”.
Veja isso
Dispositivos Zyxel têm conta privilegiada e não documentada
O que a microssegmentação faz – e que o firewall não pode fazer
Os produtos afetados são: VPN, ZyWALL, USG, ATP, USG FLEX Series no modo On-Premise. As versões de firmware afetadas são “FCS / date codes / weekly version”.
Havendo invasão, a Zyxel informou que podem aparecer problemas de:
- VPN
- Roteamento
- Tráfego
- Login
- Parâmetros de configuração desconhecidos
- Senha
Junto com a nota de alerta a empresa publicou cinco vídeos mostrando como resolver os principais problemas, entre os quais a existência de contas de VPN criadas pelos invasores. As mudanças de configuração do firewall indicam a invasão. Elas podem ser:
- Contas de adm
- Políticas de roteamento desconhecidas
- Regra de firewall desconhecida
- Setup de SSL / VPN desconhecido (em geral os atacantes estão criando usuários com os nomes de “zyxel_ts” ou “zyxel_sllvpn” ou “sslvpn_index” ou “zyxel_vpn_test” – mesmo nome do setup de VPN
A empresa recomenda desabilitar os serviços HTTP e HTTPS do lado da WAN. Para aqueles que precisam gerenciar dispositivos do lado da WAN, ele recomenda restringir o acesso a endereços de Internet de origem confiável e habilitar a filtragem GeoIP. Ela também enfatiza que os administradores precisam alterar as senhas e configurar a autenticação de dois fatores.
