近期勒索软件攻击目标指向Zyxel防火墙

公告指出：“防火墙某些版本中的IPSec VPN功能存在命令注入漏洞，未经身份验证的攻击者可以通过向易受攻击的设备发送精心制作的用户名来执行一些操作系统命令。请注意，只有在设备配置为基于用户的PSK身份验证模式并且存在一个长度超过28个字符的有效用户名时，攻击才能成功。”

厂商通过发布5.39版本的固件更新，解决了ATP、USG FLEX以及USG FLEX 50(W)/USG20(W)-VPN系列中的这些漏洞。

Zyxel的EMEA团队报告称，威胁 actors 正在针对易受攻击的Zyxel安全设备。公司敦促用户更新管理员和用户账户密码以增强保护。

公司发布的更新中提到：“Zyxel EMEA团队一直在跟踪威胁 actors 针对之前存在漏洞的Zyxel安全设备的活动。自那时起，管理员密码尚未更改。用户建议更新所有管理员和所有用户账户以获得最佳保护。根据我们的调查，威胁 actors 能够从之前的漏洞中窃取有效的凭据信息，这些凭据未被更改，使他们能够现在使用临时用户（如“SUPPOR87”、“SUPPOR817”或“VPN”）创建SSL VPN隧道，并修改安全策略以访问设备和网络。”

网络安全公司Sekoia最近详细描述了Helldown勒索软件团伙进行的一系列攻击。专家推测，勒索软件组织可能针对Zyxel防火墙以获得对目标组织的初始访问。

Zyxel的报告指出：“所有这些证据强烈表明Zyxel防火墙被Helldown瞄准。有关入侵后活动的细节表明，在至少一次入侵中，攻击者的战术与典型的勒索软件方法一致。”“入侵防火墙或VPN网关是勒索软件组织常见的入侵技术，因为它提供了通过通常监控不力的设备进入组织系统的立足点，并提供对关键资源的访问。”

用户应立即升级到修补的固件版本，公司还建议暂时禁用对易受攻击防火墙的远程访问。

原文始发于微信公众号（黑猫安全）：近期勒索软件攻击目标指向Zyxel防火墙