網路設備商合勤(Zyxel)本周發布警告,該公司的VPN、防火牆裝置上遭不明人士遠端存取。合勤目前正在製作修補程式,呼籲採取該公司建議的防範措施。

合勤發現有一個複雜的威脅攻擊手法,鎖定該公司USG/ZyWall、USG FLEX、ATP及VPN系列中執行ZLD韌體,且開啟遠端管理或SSL VPN功能的裝置。這些都是屬於企業級的高階、多功能系統。

這名攻擊者企圖從廣域網路存取裝置。一旦成功,他們可能繞過裝置的驗證機制,並新增未知用戶帳號藉以建立SSL VPN連線,像是zyxel_silvpn、zyxelts、zyxel_vpn_test。這就讓攻擊者可以操控裝置組態。合勤表示他們發現問題後已立即採取必要措施,認為可有效阻止威脅。

所有合勤產品包括VPN、ZyWALL、USG、ATG、USG FLEX系列皆受影響,所有版本ZLD韌體也都受影響。

目前合勤正在製作hotfix,在此之前,合勤提供暫時緩解的SOP呼籲用戶立即採行,包括檢查裝置上是否有陌生的用戶或管理員帳號、未知的路由原則型路由(policy route)、安全防火牆規則、SSL VPN使用者或群組,一經發現應立即刪除。

雖然合勤並未說明攻擊者何以能存取其裝置,不過根據其描述以及近日類似案件,可能是漏洞所致。包括Pulse VPNSonicWallFortinetPalo Alto Networks,皆是因為韌體漏洞被發現,而成為駭客攻擊目標,或遭到開採。

(編按:關於這起資安通報,合勤表示他們也已經發布版中文版資訊,指出有少部份USG/ZyWALL、USG FLEX、ATP和VPN系列設備,在網路上遭遇滲透性攻擊,遭非法啟用遠端管理或SSL VPN,並指出運行在Nebula管理模式的設備並不受影響,並說明修補程式發布前的檢查因應檢查方式。整理⊙iThome資安主編羅正漢)

 相關資料  合勤Security Incident Alert(2021-06-25)
Zyxel資安通報(2021-06-25)

 

熱門新聞

Advertisement