[English]Die Firma Zyxel informiert gerade Kunden über Angriffe eines Thread-Actors über eine unbekannte Schwachstelle in ihren Firewall-Produkten USG/ZyWALL-, USG FLEX-, ATP- und VPN-Serie mit vor Ort installierter ZLD-Firmware. Seit Montag sind erste Angriffe, bei denen ein neues Benutzerkonto in den Produkten auftauchte, aufgefallen. Ein Blog-Leser hat mich auf den Sachverhalt hingewiesen – danke für die Info.
Anzeige
Gemäß der mir vorliegenden Information aus der Sicherheitswarnung von Zyxel ist denen seit kurzem bekannt, dass ein Bedrohungsakteur es auf eine kleine Untergruppe von Zyxel Security Appliances abgesehen hat.
Wen betrifft die Sicherheitswarnung?
Das Ganze betrifft Zyxel-Produkte, bei denen Remote-Management oder SSL-VPN aktiviert ist. Konkret nennt der Hersteller Produkte wie USG/ZyWALL-, USG FLEX-, ATP- und VPN-Serien mit On-Premise-ZLD-Firmware. Diejenigen, die den Nebula-Cloud-Management-Modus verwenden, sind nicht betroffen.
Was passiert?
Laut dem Sicherheitshinweis von Zyxel versucht der Bedrohungsakteur über das Netzwerk (WAN) auf ein Gerät zuzugreifen. Wenn er erfolgreich ist, umgeht er die Authentifizierung und baut SSL-VPN-Tunnel mit unbekannten Benutzerkonten wie "zyxel_sllvpn", "zyxel_ts" oder "zyxel_vpn_test" auf, um die Konfiguration des Geräts zu manipulieren.
Ursache für die Zugriffe unbekannt
Das Problem ist wohl, dass der Hersteller momentan nicht weiß, über welche Schwachstelle diese Angriffe erfolgen. Zyxel schreibt, dass man sich der Situation bewusst sei und das Beste gegeben habe, um das Sicherheitsproblem zu untersuchen und zu beheben. Der Angriffsvektor ist aber weiterhin unbekannt.
Anzeige
Admins sollten schnell reagieren
Basierend auf den bisherigen Untersuchungen bei Zyxel sind deren Produktspezialisten der Meinung, dass die Beibehaltung einer angemessenen Sicherheitsrichtlinie für den Fernzugriff derzeit der effektivste Weg ist, um die Angriffsfläche zu reduzieren. Die Sicherheitsspezialisten empfehlen daher dringend, dass Administratoren die folgende Anleitung und SOP befolgen:
- Sofern Sie die Geräte nicht von der WAN-Seite aus verwalten müssen, deaktivieren Sie die HTTP/HTTPS-Dienste für Zugriffe aus dem Wide Area Network (WAN).
- Wer dennoch Geräte per WAN verwalten muss, sollte folgendes versuchen:
- die Richtlinienkontrolle aktivieren und Regeln hinzufügen, um nur den Zugriff von vertrauenswürdigen Quell-IP-Adressen zuzulassen;
- und zusätzlich die GeoIP-Filterung aktivieren, um den Zugriff nur von vertrauenswürdigen Standorten aus zuzulassen.
Der Hersteller hat diese Seite mit der SOP und weiteren Details dazu veröffentlicht. Es ist also ein proaktives Handeln der Administratoren vor Ort entscheidend, um diese Bedrohung (die nach meinen Informationen seit Montag beobachtet wird) einzudämmen.
Ähnliche Artikel:
Undokumentierter Nutzer in Zyxel-Produkten (CVE-2020-29583)
Zyxel-Backdoor (CVE-2020-29583) wird aktiv ausgenutzt
Anzeige
"eine kleine Untergruppe von Zyxel Security Appliances " ? Das betrifft mal glatt alle Firewallprodukte von ihnen!
Ps. Zyxelgeräte bieten auch einen User-Login über diese Seite an, dh wenn sich ein Benutzer einloggt, wird seine IP-Adresse für eine vorher gestgelegte Zeit für den bestimmten Port freigeschalten. Alternativ wird das auch für SSL-VPN genutzt, falls nur mal wieder jemand kommt und "wer macht schon das Managementinterface nach außen auf, eins11elf).
Gut zu Wissen wäre halt auch wie das von statten geht. Man kann Benutzergruppen einschränken, zb das die Admingruppe nur vom internen Interface und/oder von bestimmten IP-Adressen zugreifen darf. Das sollte eigentlich jeder eingestellt haben. Geo-IP ist natürlich auch eine tolle Idee, kostet leider nur extra, deshalb werden es wohl einige nicht nutzen.
Hallo Stefan
Aufgrund der beschreibung von Zyxel gehe ich davon aus, dass die Sicherheitsmechanissmen nicht funktionineren (bypass auth)
The threat actor attempts to access a device through WAN; if successful, they then bypass authentication and establish SSL VPN tunnels with unknown user accounts, such as"zyxel_sllvpn", "zyxel_ts", or "zyxel_vpn_test", to manipulate the device's configuration.
@Mario:
Danke für die Info. Sieht wirklich so aus als ob man das nur mit nem Patch wegbekommt. Merkwürdig wirken die (SSL)VPN-Benutzer. Wie werden die angelegt? Haben sie hier wie letztens wieder festkodierte Benutzer genommen oder haben die Angreifer einfach "root" und legen die selbst an?
Waren das nicht dir mit der Backdoor vor wenigen Monaten?
Ja, siehe Links am Artikelende – hatte das nachträglich ergänzt, da der Beitrag schnell raus sollte und Mittagessen anstand.
Die angelegten Namen können auch anders lauten. Somit leider Root..
Stimmt – die Info hatte ich gestern mündlich von einem Betroffenen, der darum bat, dass ich keine Details nenne, weil er dann möglicherweise identifizierbar sei.
Ich vermute, dass es eine Schwachstelle im GUI gibt, die das erstellen von Usern ermöglicht (ohne Auth). Damit werden User erstellt, dann ist ein Login möglich auf dem GUI und es wird ein VPN Tunnel erstellt.
Also ähnlich zum Citrix Problem vor einem Jahr. Gemäss einer Quelle gibt es bald FW Updates, die das Problem beheben, das scheint also schnell zu gehen.
oder es sind wieder "undokomentierte Testaccounts" die dann "vergessen" wurden zu entfernen. @GB, bitte dranbleiben.
Es gab ein FW Update auf Version 4.64 /5.01.
GeoIP ist nun für alle User freigeschaltet und damit kann der Zugriff eingeschränkt werden.
Es gab noch weitere anpassungen, es scheint kein "Backdoor" User zu haben…
https://community.zyxel.com/en/discussion/10972/zld4-64-5-01-firmware-release#latest
Hab ich heute für die USG 40er gesehen. Die Frage bleibt ob die GeoIP dauerhaft kostenlos bleibt (ist immerhin ein ca 100 Euro/Jahr Paket). Da die 4.63 bei einigen Kunden das SIP zuerbröselt hat (bekanntes Problem bei Zyxel, deshalb eine interne Verison bekommen) geh ich die 4.64 mal etwas langsam an ;-) .
Wir haben die Gunst der Stunde genutzt die Produkte gegen Sophos auszutauschen. Hat der Hauptschüler zwar schon ewig vorgeschlagen, aber das kostet ja Geld, und das wird in Multi-Milliarden-Konzernen gerne anderweitig verbraten, Stichwort Lustreisen und Partynu..en!
Sichere IT?
Warum?!
Es gibt ein Update auf 5.05 / 4.65, welches das Problem behebt (Remote Code execution)
https://community.zyxel.com/en/discussion/11061/zld4-65-5-02-firmware-release#latest
@Günter: vieleicht noch eine kurze News wert..
Na immerhin. Ist die Geo-IP-Freischaltung wieder entfernt worden?