Тайваньский производитель сетевого оборудования Zyxel предупреждает клиентов о продолжающейся атаке на «небольшое подмножество» своих продуктов безопасности, таких как межсетевые экраны и VPN-серверы.
Приписывая атаки «умелой хакерской группе», компания отметила, что атаки совершаются на устройства с включенным удаленным управлением или SSL VPN, а именно на устройства серий USG/ZyWALL, USG FLEX, ATP и VPN, работающие на локальной прошивке ZLD, что подразумевает публичный доступ к устройствам через Интернет.
«Злоумышленники пытаются получить доступ к устройству через WAN. В случае успеха они обходят аутентификацию и устанавливают SSL VPN туннели с неизвестными учетными записями пользователей, такими как 'zyxel_slIvpn', 'zyxel_ts' или 'zyxel_vpn_test', чтобы манипулировать конфигурацией устройства» - говорится в сообщении Zyxel, которое было распространено через Twitter.
На момент написания статьи нет данных используют ли атаки ранее известные уязвимости в устройствах Zyxel или же для взлома систем используется 0-day-дефект. Также неизвестен масштаб атаки и количество затронутых пользователей.
Чтобы уменьшить площадь атаки, компания рекомендует клиентам отключить службы HTTP/HTTPS в глобальной сети и ввести список ограниченных гео-IP, чтобы обеспечить удаленный доступ только из доверенных мест.
Ранее в этом году компания Zyxel исправила критическую уязвимость в своей прошивке, устранив жестко закодированную учетную запись пользователя "zyfwp" (CVE-2020-29583), которая может быть использована злоумышленником для входа с административными привилегиями и нарушения конфиденциальности, целостности и доступности устройства.
Эти атаки происходят на фоне повышения популярности корпоративных VPN и других сетевых устройств в качестве цели злоумышленников в серии кампаний, направленных на поиск новых путей проникновения в корпоративные сети, что дает хакерам возможность латерального перемещения по сети и сбора конфиденциальной информации для шпионажа и других финансово мотивированных операций.
Перевод выполнен состатьи: https://thehackernews.com
