Des pirates ciblent les pare-feu et les VPN de Zyxel

Spread the love
Des pirates ciblent les pare-feu et les VPN de Zyxel

Zyxel, un fabricant de routeurs d’entreprise et de dispositifs VPN, a émis une alerte indiquant que des attaquants ciblent ses dispositifs et modifient les configurations pour obtenir un accès à distance à un réseau.

Dans une nouvelle note d’assistance, la société a déclaré qu’un “acteur malveillant sophistiqué” ciblait les appareils de sécurité Zyxel dont la gestion à distance ou le VPN SSL était activé.

publicité

Les attaques touchent les organisations qui utilisent Unified Security Gateway (USG), ZyWALL, le pare-feu et la passerelle VPN combinés USG FLEX, les pare-feu Advanced Threat Protection (ATP) et les appareils de la série VPN exécutant son micrologiciel ZLD.

“L’acteur malveillant tente d’accéder à un appareil par le biais du WAN ; s’il y parvient, il contourne l’authentification et établit des tunnels VPN SSL avec des comptes d’utilisateur inconnus, tels que “zyxel_sllvpn”, “zyxel_ts” ou “zyxel_vpn_test”, afin de manipuler la configuration du dispositif. Nous avons pris des mesures immédiatement après avoir identifié l’incident”, a noté Zyxel.

Cela semble indiquer que les attaquants utilisent des comptes codés en dur pour accéder aux appareils à distance.

Plus tôt cette année, des chercheurs ont découvert un compte administrateur codé en dur dans l’un des binaires du micrologiciel de Zyxel, ce qui a laissé 100 000 pare-feu et VPN exposés à Internet.

Zyxel note que les pare-feu peuvent être affectés si les utilisateurs rencontrent des problèmes d’accès au VPN, ou des problèmes de routage, de trafic et de connexion. D’autres signes sont des paramètres de configuration inconnus et des problèmes de mot de passe.

Zyxel conseille aux administrateurs de supprimer tous les comptes d’administrateur et d’utilisateur inconnus qui ont été créés par les attaquants. Il leur conseille également de supprimer les règles de pare-feu et les politiques de routage inconnues.

Via Ars Technica, un client de Zyxel a publié son le message d’alerte sur Twitter.

“Sur la base de notre enquête jusqu’à présent, nous pensons que le maintien d’une politique de sécurité appropriée pour l’accès à distance est actuellement le moyen le plus efficace de réduire la surface d’attaque”, a déclaré Zyxel.

L’entreprise recommande de désactiver les services HTTP et HTTPS du côté du réseau étendu. Pour ceux qui doivent gérer les appareils depuis le WAN, Zyxel recommande de restreindre l’accès à l’adresse Internet source de confiance et d’activer le filtrage GeoIP. Elle souligne également que les administrateurs doivent changer les mots de passe et mettre en place une authentification à deux facteurs.

Les attaques contre les appareils Zyxel font suite à une série d’attaques similaires contre toute une série d’appareils VPN, qui constituent un point d’entrée pratique dans un réseau d’entreprise pour les attaquants qui souhaitent obtenir un accès permanent. L’agence américaine Cybersecurity and Infrastructure Security Agency a averti en avril que les attaquants ciblaient les vulnérabilités des VPN Pulse Secure Connect.

ZDNet a contacté Zyxel et mettra à jour cet article si la société répond.

Source : “ZDNet.com”

Leave a Reply