Achtung: Cyberangriffe auf Zyxel-Firewalls mit Geräte-Übernahme – Details unbekannt

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Firma Zyxel informiert gerade Kunden über Angriffe eines Thread-Actors über eine unbekannte Schwachstelle in ihren Firewall-Produkten USG/ZyWALL-, USG FLEX-, ATP- und VPN-Serie mit vor Ort installierter ZLD-Firmware. Seit Montag sind erste Angriffe, bei denen ein neues Benutzerkonto in den Produkten auftauchte, aufgefallen. Ein Blog-Leser hat mich auf den Sachverhalt hingewiesen – danke für die Info.


Anzeige

Gemäß der mir vorliegenden Information aus der Sicherheitswarnung von Zyxel ist denen seit kurzem bekannt, dass ein Bedrohungsakteur es auf eine kleine Untergruppe von Zyxel Security Appliances abgesehen hat.

Wen betrifft die Sicherheitswarnung?

Das Ganze betrifft Zyxel-Produkte, bei denen Remote-Management oder SSL-VPN aktiviert ist. Konkret nennt der Hersteller Produkte wie USG/ZyWALL-, USG FLEX-, ATP- und VPN-Serien mit On-Premise-ZLD-Firmware. Diejenigen, die den Nebula-Cloud-Management-Modus verwenden, sind nicht betroffen.

Was passiert?

Laut dem Sicherheitshinweis von Zyxel versucht der Bedrohungsakteur über das Netzwerk (WAN) auf ein Gerät zuzugreifen. Wenn er erfolgreich ist, umgeht er die Authentifizierung und baut SSL-VPN-Tunnel mit unbekannten Benutzerkonten wie "zyxel_sllvpn", "zyxel_ts" oder "zyxel_vpn_test" auf, um die Konfiguration des Geräts zu manipulieren.

Ursache für die Zugriffe unbekannt

Das Problem ist wohl, dass der Hersteller momentan nicht weiß, über welche Schwachstelle diese Angriffe erfolgen. Zyxel schreibt, dass man sich der Situation bewusst sei und das Beste gegeben habe, um das Sicherheitsproblem zu untersuchen und zu beheben. Der Angriffsvektor ist aber weiterhin unbekannt.

Admins sollten schnell reagieren

Basierend auf den bisherigen Untersuchungen bei Zyxel sind deren Produktspezialisten der Meinung, dass die Beibehaltung einer angemessenen Sicherheitsrichtlinie für den Fernzugriff derzeit der effektivste Weg ist, um die Angriffsfläche zu reduzieren. Die Sicherheitsspezialisten empfehlen daher dringend, dass Administratoren die folgende Anleitung und SOP befolgen:

  • Sofern Sie die Geräte nicht von der WAN-Seite aus verwalten müssen, deaktivieren Sie die HTTP/HTTPS-Dienste für Zugriffe aus dem Wide Area Network (WAN).
  • Wer dennoch Geräte per WAN verwalten muss, sollte folgendes versuchen:
    • die Richtlinienkontrolle aktivieren und Regeln hinzufügen, um nur den Zugriff von vertrauenswürdigen Quell-IP-Adressen zuzulassen;
    • und zusätzlich die GeoIP-Filterung aktivieren, um den Zugriff nur von vertrauenswürdigen Standorten aus zuzulassen.

Der Hersteller hat diese Seite mit der SOP und weiteren Details dazu veröffentlicht. Es ist also ein proaktives Handeln der Administratoren vor Ort entscheidend, um diese Bedrohung (die nach meinen Informationen seit Montag beobachtet wird) einzudämmen.

Ähnliche Artikel:
Undokumentierter Nutzer in Zyxel-Produkten (CVE-2020-29583)
Zyxel-Backdoor (CVE-2020-29583) wird aktiv ausgenutzt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Achtung: Cyberangriffe auf Zyxel-Firewalls mit Geräte-Übernahme – Details unbekannt

  1. Stefan sagt:

    "eine kleine Untergruppe von Zyxel Security Appliances " ? Das betrifft mal glatt alle Firewallprodukte von ihnen!

    Ps. Zyxelgeräte bieten auch einen User-Login über diese Seite an, dh wenn sich ein Benutzer einloggt, wird seine IP-Adresse für eine vorher gestgelegte Zeit für den bestimmten Port freigeschalten. Alternativ wird das auch für SSL-VPN genutzt, falls nur mal wieder jemand kommt und "wer macht schon das Managementinterface nach außen auf, eins11elf).

    Gut zu Wissen wäre halt auch wie das von statten geht. Man kann Benutzergruppen einschränken, zb das die Admingruppe nur vom internen Interface und/oder von bestimmten IP-Adressen zugreifen darf. Das sollte eigentlich jeder eingestellt haben. Geo-IP ist natürlich auch eine tolle Idee, kostet leider nur extra, deshalb werden es wohl einige nicht nutzen.

  2. Mario sagt:

    Hallo Stefan

    Aufgrund der beschreibung von Zyxel gehe ich davon aus, dass die Sicherheitsmechanissmen nicht funktionineren (bypass auth)

    The threat actor attempts to access a device through WAN; if successful, they then bypass authentication and establish SSL VPN tunnels with unknown user accounts, such as"zyxel_sllvpn", "zyxel_ts", or "zyxel_vpn_test", to manipulate the device's configuration.

    • Stefan sagt:

      @Mario:

      Danke für die Info. Sieht wirklich so aus als ob man das nur mit nem Patch wegbekommt. Merkwürdig wirken die (SSL)VPN-Benutzer. Wie werden die angelegt? Haben sie hier wie letztens wieder festkodierte Benutzer genommen oder haben die Angreifer einfach "root" und legen die selbst an?

  3. JohnRipper sagt:

    Waren das nicht dir mit der Backdoor vor wenigen Monaten?

  4. Heinrich sagt:

    Die angelegten Namen können auch anders lauten. Somit leider Root..

  5. Mario sagt:

    Ich vermute, dass es eine Schwachstelle im GUI gibt, die das erstellen von Usern ermöglicht (ohne Auth). Damit werden User erstellt, dann ist ein Login möglich auf dem GUI und es wird ein VPN Tunnel erstellt.
    Also ähnlich zum Citrix Problem vor einem Jahr. Gemäss einer Quelle gibt es bald FW Updates, die das Problem beheben, das scheint also schnell zu gehen.

  6. Mr.Blacksmith sagt:

    Wir haben die Gunst der Stunde genutzt die Produkte gegen Sophos auszutauschen. Hat der Hauptschüler zwar schon ewig vorgeschlagen, aber das kostet ja Geld, und das wird in Multi-Milliarden-Konzernen gerne anderweitig verbraten, Stichwort Lustreisen und Partynu..en!

    Sichere IT?

    Warum?!

  7. Mario sagt:

    Es gibt ein Update auf 5.05 / 4.65, welches das Problem behebt (Remote Code execution)
    https://community.zyxel.com/en/discussion/11061/zld4-65-5-02-firmware-release#latest
    @Günter: vieleicht noch eine kurze News wert..

  8. Stefan sagt:

    Na immerhin. Ist die Geo-IP-Freischaltung wieder entfernt worden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.