Zyxel adviseert uitschakelen van beheerinterface aan WAN-kant firewall

[Captain Kirk]

Zyxel adviseert organisaties die gebruikmaken van de firewalls van de fabrikant om de beheerinterface aan de WAN (wide area network) kant van het apparaat uit te schakelen. Aanleiding zijn de recente aanvallen op firewalls van Zyxel. Eind mei kwam Zyxel met beveiligingsupdates voor twee kritieke kwetsbaarheden waardoor firewalls op afstand zijn over te nemen. Een aantal dagen later bleek een botnet op grote schaal kwetsbare firewalls te compromitteren.

Securitybedrijf Rapid7 spreekt van grootschalig misbruik. Het bedrijf telde 42.000 Zyxel-apparaten die vanaf internet benaderbaar zijn. Het gaat hierbij alleen om firewalls waarvan de webinterface vanaf het internet is te benaderen, wat niet de standaardinstelling is. "Aangezien de kwetsbaarheid in de vpn-service aanwezig is, die standaard op het WAN staat ingeschakeld, denken we dat het daadwerkelijke aantal blootgestelde apparaten veel groter is", aldus onderzoeker Drew Burton.

Volgens securitybedrijf Censys zijn erop internet ruim 24.000 potentieel kwetsbare firewalls en vpn's van Zyxel te vinden die mogelijk kwetsbaar zijn. Meer dan 86 procent daarvan heeft het IKE (Internet Key Exchange) protocol ingeschakeld staan dat voor misbruik van het beveiligingslek vereist is. Zyxel adviseert klanten nu om HTTP/HTTPS-services die voor het beheer van de apparaten wordt gebruikt aan de WAN-kant uit te schakelen, zodat ze niet vanaf het internet benaderbaar zijn. Daarnaast wordt aangeraden, wanneer de IPSec VPN-functie niet wordt gebruikt, om UDP-poorten 500 en 4500 uit te schakelen.

 

bron: https://www.security.nl