Los piratas informáticos están utilizando cuentas de usuario desconocidas para atacar los firewalls y VPN de Zyxel

Imagen promocional de roucter.

El fabricante de dispositivos de red Zyxel advierte a los clientes sobre ataques activos y en curso que tienen como objetivo una variedad de firewalls de la compañía y otros tipos de dispositivos de seguridad.

En un correo electrónico, la compañía dijo que los dispositivos específicos incluían dispositivos de seguridad que tienen administración remota o SSL VPN habilitada, es decir, en las series USG / ZyWALL, USG FLEX, ATP y VPN que se ejecutan en el firmware ZLD local. El lenguaje en el correo electrónico es conciso, pero parece decir que los ataques apuntan a dispositivos que están expuestos a Internet. Cuando los atacantes logran acceder al dispositivo, el correo electrónico parece decir además que pueden conectarse a cuentas previamente desconocidas conectadas a los dispositivos.

fijar con listones La escotilla

“Somos conscientes de la situación y hemos hecho todo lo posible para investigarla y resolverla”, decía el correo electrónico, publicado en Twitter, dicho. “El actor de amenazas intenta acceder a un dispositivo a través de WAN; si tienen éxito, omiten la autenticación y establecen túneles VPN SSL con cuentas de usuario desconocidas, como ‘zyxel_silvpn’, ‘zyxel_ts’ o ‘zyxel_vpn_test’, para manipular la configuración del dispositivo “.

No está claro si las debilidades bajo ataque son nuevas o ya se conocían. Tampoco está claro cuántos clientes están bajo ataque, cuál es su desglose geográfico y si los ataques comprometen con éxito los dispositivos de los clientes o simplemente intentan hacerlo.

En una declaración emitida más tarde, los funcionarios de Zyxel escribieron:

Inicialmente informado por usuarios en Europa, Zyxel se dio cuenta de un actor de amenazas sofisticado que intenta acceder a un subconjunto de dispositivos de seguridad Zyxel a través de la WAN para evitar la autenticación y establecer túneles VPN SSL con cuentas de usuario desconocidas. Actualmente, Zyxel está evaluando los vectores de ataque para determinar si se trata de una vulnerabilidad conocida o desconocida.

Zyxel ha desarrollado una guía para permitir a los usuarios mitigar temporalmente el incidente de seguridad y contener la amenaza. Se envió un SOP a todos los usuarios registrados de los dispositivos de la serie USG / ZyWALL, USG FLEX, ATP o VPN. Zyxel está desarrollando una actualización de firmware para abordar las prácticas de seguridad de la interfaz de usuario como se describe en el SOP para reducir la superficie de ataque.

El número de clientes afectados se desconoce en este momento porque parece que los dispositivos que se están explotando tienen su administración web accesible públicamente y no están bloqueados.

Según los vagos detalles disponibles hasta ahora, la vulnerabilidad suena a reminiscencias de CVE-2020-29583, que surgió de una cuenta indocumentada con todos los derechos del sistema administrativo que utilizaba la contraseña codificada “PrOw! aN_fXp”. Cuando Zyxel arregló la vulnerabilidad en enero, sin embargo, la cuenta se incluyó como “zyfwp”, un nombre que no aparece en el correo electrónico que Zyxel envió a los clientes esta semana.

En cualquier caso, el correo electrónico decía que la mejor manera para que los clientes protejan sus dispositivos Zyxel es seguir las pautas publicadas. aquí. Las pautas contienen consejos genéricos, como configurar dispositivos con los privilegios más bajos posibles, parchear dispositivos, usar autenticación de dos factores y desconfiar de los ataques de phishing.

El correo electrónico llega cuando los cortafuegos, las VPN y otros dispositivos utilizados para proteger las redes han surgido como un vector clave para los piratas informáticos que impulsan ataques motivados por ransomware o espionaje. Los dispositivos generalmente se ubican en el perímetro de la red para filtrar o bloquear el tráfico que ingresa o sale de la organización. Una vez violados, estos dispositivos a menudo brindan a los atacantes la capacidad de cambiar a redes internas.

En los últimos años, las vulnerabilidades en Fortigate SSL VPN y la competencia Pulse Secure SSL VPN han sido atacadas. Los dispositivos de Sonicwall también se han visto comprometidos por vulnerabilidades de seguridad. Las amenazas muestran cómo los dispositivos de seguridad pueden hacer que las redes sean menos seguras cuando no se bloquean cuidadosamente.

Leave a Reply

Your email address will not be published. Required fields are marked *