Zyxel EMEA 团队的安全研究员 Serhii Boiarynov 最近发布了一份安全公告,揭露了针对 Zyxel 安全设备的恶意活动。攻击者正在利用 ATP 和 USG FLEX 系列中先前已知的漏洞,通过 SSL VPN 通道窃取凭证和未经授权的访问。这种活动被追踪到运行过时固件版本的设备,特别是 ZLD V4.32 和 ZLD V5.38 之间的设备。
据报告称,攻击者使用的是之前窃取的尚未更新的凭证。这些凭证允许他们创建临时用户,如 “SUPPOR87 ”或 “SUPPOR817”,并修改安全策略以允许自己访问网络。“Boiarynov 指出:”根据我们的调查,威胁分子能够从以前的漏洞中窃取有效凭证……使他们现在能够创建具有临时用户的 SSL VPN 通道。
我们建议管理员注意设备可能受到攻击的几个迹象。这些迹象包括
来自可疑用户名的 SSL VPN 连接,如 “SUPPOR87 ”或 “SUPPOR817”。
来自未知 IP 地址的管理员登录,特别是那些来自非认可国家的 IP 地址。
未经授权更改安全策略,如开放从广域网到局域网的访问,或更改 NAT 规则以允许不受限制的流量
在更严重的情况下,攻击者甚至可能通过被破坏的 VPN 连接访问活动目录 (AD) 服务器,对关键文件进行加密。“报告警告说:”黑客利用 SSL VPN 连接访问 AD 服务器并加密文件。
Ezoic
为防范这些攻击,Zyxel 强烈建议将设备升级到最新的固件 5.39 版,并更改与管理员账户、用户账户和 VPN 设置相关的所有密码。“报告建议:”如果设备仍未升级,请将其升级到最新的固件 5.39。
此外,管理员应删除任何未知用户,强制注销可疑会话,并删除允许从广域网或 SSL VPN 区域进行广泛访问的防火墙规则。此外,还强烈建议实施双因素身份验证(2FA)和更改 SSL VPN 访问的默认端口。
Zyxel 团队强调遵循安全最佳实践的重要性。管理员应定期检查防火墙配置,确保默认情况下拒绝所有非信任连接。报告还强调了使用 GEO IP Country 功能限制特定区域访问以及在配置文件中添加私人加密密钥的重要性。
由于恶意行为者不断利用未打补丁的漏洞,管理员在更新系统和实施这些建议时必须保持警惕。如果不解决这些问题,可能会导致未经授权的访问、数据加密和大范围的网络运行中断。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容