Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Il produttore di dispositivi di rete Zyxel avverte i clienti di attacchi attivi che prendono di mira una serie di firewall dell’azienda e altri tipi di dispositivi di sicurezza.
In una e-mail, la società ha affermato che i dispositivi mirati includono dispositivi di sicurezza con gestione remota con SSL VPN abilitati, in particolare nelle serie USG/ZyWALL, USG FLEX, ATP e VPN con firmware ZLD.
Il linguaggio nell’e-mail è conciso, ma sembra dire che gli attacchi prendono di mira i dispositivi esposti a Internet. Quando gli aggressori riescono ad accedere al dispositivo, l’e-mail sembra inoltre dire che sono in grado di connettersi ad account precedentemente sconosciuti cablati nei dispositivi.
“Siamo consapevoli della situazione e abbiamo lavorato al meglio per indagare e risolverla”
ha affermato l’e-mail, che è stata pubblicata su Twitter .
L’attore delle minacce tenta di accedere a un dispositivo tramite WAN; in caso di successo, ignorano l’autenticazione e stabiliscono tunnel SSL VPN con account utente sconosciuti, come “zyxel_silvpn”, “zyxel_ts” o “zyxel_vpn_test”, per manipolare la configurazione del dispositivo.
Non è chiaro se le debolezze sotto attacco siano nuove o fossero note in precedenza. Altrettanto poco chiaro è quanti clienti sono sotto attacco, qual è la loro ripartizione geografica e se gli attacchi stanno compromettendo con successo i dispositivi dei clienti o semplicemente tentando di farlo.
Ricordiamo che all’inizio di quest’anno, i ricercatori hanno trovato un account backdoor di amministrazione hardcoded in uno dei file binari del firmware di Zyxel, che ha lasciato 100.000 firewall e VPN esposti a Internet.
Il fornitore consiglia di disabilitare i servizi HTTP e HTTPS lato WAN. Per coloro che hanno bisogno di gestire i dispositivi lato WAN, si consiglia di limitare l’accesso all’indirizzo Internet di origine attendibile e di abilitare il filtro GeoIP.
Sottolineano inoltre che gli amministratori devono modificare le password e impostare l’autenticazione a due fattori.
Insomma, tutto da definire.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Un nuovo e formidabile nemico è emerso nel panorama delle minacce informatiche: Kimwolf, una temibile botnet DDoS, sta avendo un impatto devastante sui dispositivi a livello mondiale. Le conseguenze ...
Ecco! Il 20 dicembre 1990, qualcosa di epocale successe al CERN di Ginevra. Tim Berners-Lee, un genio dell’informatica britannico, diede vita al primo sito web della storia. Si tratta di info.cern.c...
Una giuria federale del Distretto del Nebraska ha incriminato complessivamente 54 persone accusate di aver preso parte a una vasta operazione criminale basata sull’uso di malware per sottrarre milio...
Solo un anno fa, i medici non potevano dire con certezza se KJ Muldoon sarebbe sopravvissuto al suo primo anno di vita. Oggi sta muovendo i primi passi a casa, con la sua famiglia al suo fianco. Quest...
Una nuova vulnerabilità nei componenti FreeBSD responsabili della configurazione IPv6 consente l’esecuzione remota di codice arbitrario su un dispositivo situato sulla stessa rete locale dell’agg...
