Zyxel EMEA 团队的安全研究员 Serhii Boiarynov 最近发布了一份安全公告,揭露了针对 Zyxel 安全设备的恶意活动。攻击者正在利用 ATP 和 USG FLEX 系列中先前已知的漏洞,通过 SSL VPN 通道窃取凭证和未经授权的访问。这种活动被追踪到运行过时固件版本的设备,特别是 ZLD V4.32 和 ZLD V5.38 之间的设备。
据报告称,攻击者使用的是之前窃取的尚未更新的凭证。这些凭证允许他们创建临时用户,如 “SUPPOR87 ”或 “SUPPOR817”,并修改安全策略以允许自己访问网络。“Boiarynov 指出:”根据我们的调查,威胁分子能够从以前的漏洞中窃取有效凭证……使他们现在能够创建具有临时用户的 SSL VPN 通道。
我们建议管理员注意设备可能受到攻击的几个迹象。这些迹象包括
来自可疑用户名的 SSL VPN 连接,如 “SUPPOR87 ”或 “SUPPOR817”。
来自未知 IP 地址的管理员登录,特别是那些来自非认可国家的 IP 地址。
未经授权更改安全策略,如开放从广域网到局域网的访问,或更改 NAT 规则以允许不受限制的流量
在更严重的情况下,攻击者甚至可能通过被破坏的 VPN 连接访问活动目录 (AD) 服务器,对关键文件进行加密。“报告警告说:”黑客利用 SSL VPN 连接访问 AD 服务器并加密文件。
Ezoic
为防范这些攻击,Zyxel 强烈建议将设备升级到最新的固件 5.39 版,并更改与管理员账户、用户账户和 VPN 设置相关的所有密码。“报告建议:”如果设备仍未升级,请将其升级到最新的固件 5.39。
此外,管理员应删除任何未知用户,强制注销可疑会话,并删除允许从广域网或 SSL VPN 区域进行广泛访问的防火墙规则。此外,还强烈建议实施双因素身份验证(2FA)和更改 SSL VPN 访问的默认端口。
Zyxel 团队强调遵循安全最佳实践的重要性。管理员应定期检查防火墙配置,确保默认情况下拒绝所有非信任连接。报告还强调了使用 GEO IP Country 功能限制特定区域访问以及在配置文件中添加私人加密密钥的重要性。
由于恶意行为者不断利用未打补丁的漏洞,管理员在更新系统和实施这些建议时必须保持警惕。如果不解决这些问题,可能会导致未经授权的访问、数据加密和大范围的网络运行中断。
发表评论
您还未登录,请先登录。
登录