Zyxel waarschuwt klanten voor aanvallen op firewalls en vpn-apparaten

[Captain Kirk]

Netwerkfabrikant Zyxel heeft klanten gewaarschuwd voor aanvallen op firewalls en vpn-apparaten. Het bedrijf stuurde een e-mail naar klanten waarin het laat weten dat het recentelijk ontdekte dat een "geraffineerde aanvaller" het heeft voorzien op Zyxel-apparaten waar remote management of SSL VPN staan ingeschakeld.

Het gaat om de USG/ZyWALL, USG FLEX, ATP en VPN serie apparaten die on-premise ZLD-firmware draaien, aldus het bericht dat door beveiligingsonderzoeker JAMESWT op Twitter werd gedeeld. Volgens Zyxel probeert de aanvaller verbinding met de apparaten te maken. Wanneer de aanval succesvol is wordt de authenticatie omzeild en een SSL VPN-tunnel opgezet met gebruikersaccounts zoals "zyxel_sslvpn", "zyxel_ts" of "zyxel_vpn_test", om zo de configuratie van het apparaat aan te passen.

Op basis van wat nu bekend is stelt Zyxel dat een goed beveiligingsbeleid voor remote toegang de beste manier is om het aanvalsoppervlak te verkleinen. Zo wordt aangeraden om remote beheer vanaf het internet uit te schakelen wanneer dit niet is vereist. Wanneer dit wel nodig is moet alleen toegang vanaf vertrouwde ip-adressen worden toegestaan en kan GeoIP-filtering worden ingeschakeld.

Details over hoe de aanvallers toegang tot de apparaten weten te krijgen, zoals gebruikte kwetsbaarheden, zijn niet door Zyxel bekendgemaakt. Eerder dit jaar waren Zyxel-apparaten ook het doelwit van aanvallen. Destijds maakten aanvallers misbruik van een ongedocumenteerd gebruikersaccount dat in Zyxel-apparaten aanwezig was.

 

bron: https://www.security.nl