Zyxel waarschuwt voor firewallkaping
Gebruikers van bepaalde modellen Zyxel-netwerkapparatuur zijn doelwit van aanvallers die de kwetsbare firewalls en security-appliances weten te kapen. Het gaat om apparaten die beheer op afstand of SSL VPN ingeschakeld hebben, en waarbij de aanvallers gebruik weten te maken van ingebouwde accounts waarvan het bestaan voorheen niet bekend was.
© Zyxel
Zyxel
Zyxel waarschuwt klanten nu voor deze lopende aanvallen. De leverancier van netwerkapparatuur heeft aan AG Connect laten weten dat de betreffende kwetsbaarheid niet dezelfde is als het securitygat dat eind vorig jaar is ontdekt. Toen heeft het Nederlandse securitybedrijf EYE Control, opgericht door voormalige medewerkers van de AIVD en Fox-IT, een ongedocumenteerd beheerdersaccount aangetroffen in de firmware van Zyxel.
'Geavanceerde aanvallers'
De aanvalsmethode die nu speelt, doet wel sterk denken aan de ingebakken backdoor van december 2020. Zyxel waarschuwt nu in een e-mail aan klanten van "onbekende gebruikersaccounts, zoals 'zyxel_sllvpn', 'zyxel_ts' of 'zyxel_vpn_test'." Aanvallers die contact proberen te leggen via de WAN-interface van bepaalde Zyxel-modellen kunnen authenticatie omzeilen en via die ingebouwde accounts SSL VPN-tunnels opzetten.
De aanvallen die worden uitgevoerd, zijn volgens de hardwareleverancier het werk van een geavanceerde aanvallers die een kleine subset van security-appliances op de korrel neemt. De betreffende apparaten vallen in de USG/Zywall-, USG FLEX-, ATP- en VPN-series van Zyxel. Deze draaien de on-premise ZLD-firmware. Zyxel meldt nog dat zijn producten die de Nebula-cloudbeheermodus draaien níet worden geraakt.
Advies: strak beveiligingsbeleid
Klanten krijgen het advies om een goed beveiligingsbeleid te hanteren voor toegang op afstand. Dat is "momenteel de meest effectieve manier om het aanvalsoppervlak te verkleinen", aldus Zyxel in de mail aan klanten. Dit omvat uitschakelen van http- en https-diensten voor de WAN-interface als beheer 'van buiten' niet nodig is, en strikte regels voor IP-adressen en geolocaties daarvan als beheer op afstand wel nodig is. De leverancier verwijst naar een best practices-artikel in zijn knowledgebase.
Het is nog niet bekend of de aanvallen gebruik maken van nieuwe of al bestaande kwetsbaarheden, hoewel het ontbreken van concreet patchadvies doet vermoeden dat het om verse gaten gaat. "Ik zou wel hopen dat als patchen de oplossing is, ze dat in ieder geval als oplossing zouden aandragen", antwoordt security-onderzoeker Niels Teusink van EYE Control. De PR van Zyxel heeft AG Connect gezegd dat meer informatie nog volgt.
Onwijzigbaar wachtwoord
Bij de backdoor van een half jaar geleden, die uiteindelijk is gepatched door Zyxel, ging het om een ongedocumenteerd gebruikersaccount (zyfwp) met beheerrechten. Die ingang is binnengebracht door een officiële update voor de firmware in Zyxel-apparatuur. Het wachtwoord voor dat ingebouwde account was ook ingebouwd, en viel niet te wijzigen. Kort na de ethische onthulling is het achtergehouden wachtwoord toch uitgelekt; het stond namelijk in platte tekst in de firmware.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee