Dispositivi Zyxel sotto attacco attivo.

Il produttore di dispositivi di rete Zyxel avverte i clienti di attacchi attivi che prendono di mira una serie di firewall dell’azienda e altri tipi di dispositivi di sicurezza.

In una e-mail, la società ha affermato che i dispositivi mirati includono dispositivi di sicurezza con gestione remota con SSL VPN abilitati, in particolare nelle serie USG/ZyWALL, USG FLEX, ATP e VPN con firmware ZLD.

Il linguaggio nell’e-mail è conciso, ma sembra dire che gli attacchi prendono di mira i dispositivi esposti a Internet. Quando gli aggressori riescono ad accedere al dispositivo, l’e-mail sembra inoltre dire che sono in grado di connettersi ad account precedentemente sconosciuti cablati nei dispositivi.

“Siamo consapevoli della situazione e abbiamo lavorato al meglio per indagare e risolverla”

ha affermato l’e-mail, che è stata pubblicata su Twitter .

L’attore delle minacce tenta di accedere a un dispositivo tramite WAN; in caso di successo, ignorano l’autenticazione e stabiliscono tunnel SSL VPN con account utente sconosciuti, come “zyxel_silvpn”, “zyxel_ts” o “zyxel_vpn_test”, per manipolare la configurazione del dispositivo.

Non è chiaro se le debolezze sotto attacco siano nuove o fossero note in precedenza. Altrettanto poco chiaro è quanti clienti sono sotto attacco, qual è la loro ripartizione geografica e se gli attacchi stanno compromettendo con successo i dispositivi dei clienti o semplicemente tentando di farlo.

Ricordiamo che all’inizio di quest’anno, i ricercatori hanno trovato un account backdoor di amministrazione hardcoded in uno dei file binari del firmware di Zyxel, che ha lasciato 100.000 firewall e VPN esposti a Internet.

Il fornitore consiglia di disabilitare i servizi HTTP e HTTPS lato WAN. Per coloro che hanno bisogno di gestire i dispositivi lato WAN, si consiglia di limitare l’accesso all’indirizzo Internet di origine attendibile e di abilitare il filtro GeoIP.

Sottolineano inoltre che gli amministratori devono modificare le password e impostare l’autenticazione a due fattori.

Insomma, tutto da definire.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.