{"id":255129,"date":"2021-06-24T13:22:59","date_gmt":"2021-06-24T11:22:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255129"},"modified":"2023-04-15T22:05:42","modified_gmt":"2023-04-15T20:05:42","slug":"achtung-cyberangriffe-auf-zyxel-firewalls-mit-gerte-bernahme-details-unbekannt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/24\/achtung-cyberangriffe-auf-zyxel-firewalls-mit-gerte-bernahme-details-unbekannt\/","title":{"rendered":"Achtung: Cyberangriffe auf Zyxel-Firewalls mit Geräte-Übernahme – Details unbekannt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Firma Zyxel informiert gerade Kunden \u00fcber Angriffe eines Thread-Actors \u00fcber eine unbekannte Schwachstelle in ihren Firewall-Produkten USG\/ZyWALL-, USG FLEX-, ATP- und VPN-Serie mit vor Ort installierter ZLD-Firmware. Seit Montag sind erste Angriffe, bei denen ein neues Benutzerkonto in den Produkten auftauchte, aufgefallen. Ein Blog-Leser hat mich auf den Sachverhalt hingewiesen – danke f\u00fcr die Info.<\/p>\n

<\/p>\n

\"\"Gem\u00e4\u00df der mir vorliegenden Information aus der Sicherheitswarnung von Zyxel ist denen seit kurzem bekannt, dass ein Bedrohungsakteur es auf eine kleine Untergruppe von Zyxel Security Appliances abgesehen hat.<\/p>\n

Wen betrifft die Sicherheitswarnung?<\/h2>\n

Das Ganze betrifft Zyxel-Produkte, bei denen Remote-Management oder SSL-VPN aktiviert ist. Konkret nennt der Hersteller Produkte wie USG\/ZyWALL-, USG FLEX-, ATP- und VPN-Serien mit On-Premise-ZLD-Firmware. Diejenigen, die den Nebula-Cloud-Management-Modus verwenden, sind nicht betroffen.<\/p>\n

Was passiert?<\/h2>\n

Laut dem Sicherheitshinweis von Zyxel versucht der Bedrohungsakteur \u00fcber das Netzwerk (WAN) auf ein Ger\u00e4t zuzugreifen. Wenn er erfolgreich ist, umgeht er die Authentifizierung und baut SSL-VPN-Tunnel mit unbekannten Benutzerkonten wie \"zyxel_sllvpn\", \"zyxel_ts\" oder \"zyxel_vpn_test\" auf, um die Konfiguration des Ger\u00e4ts zu manipulieren.<\/p>\n

Ursache f\u00fcr die Zugriffe unbekannt<\/h2>\n

Das Problem ist wohl, dass der Hersteller momentan nicht wei\u00df, \u00fcber welche Schwachstelle diese Angriffe erfolgen. Zyxel schreibt, dass man sich der Situation bewusst sei und das Beste gegeben habe, um das Sicherheitsproblem zu untersuchen und zu beheben. Der Angriffsvektor ist aber weiterhin unbekannt.<\/p>\n

Admins sollten schnell reagieren<\/h2>\n

Basierend auf den bisherigen Untersuchungen bei Zyxel sind deren Produktspezialisten der Meinung, dass die Beibehaltung einer angemessenen Sicherheitsrichtlinie f\u00fcr den Fernzugriff derzeit der effektivste Weg ist, um die Angriffsfl\u00e4che zu reduzieren. Die Sicherheitsspezialisten empfehlen daher dringend, dass Administratoren die folgende Anleitung und SOP befolgen:<\/p>\n