¡Cuidado! Firewalls y VPN Zyxel bajo ciberataque activo

Noticias 31 de enero de 2022

La empresa taiwanesa de equipos de red Zyxel advierte a los clientes de un ataque en curso dirigido a un «pequeño subconjunto» de sus productos de seguridad, como firewall y servidores VPN.

Al atribuir los ataques a un «actor de amenazas sofisticado», la firma señaló que los ataques identifican dispositivos que tienen administración remota o SSL VPN habilitados, es decir, en las series USG / ZyWALL, USG FLEX, ATP y VPN que ejecutan firmware ZLD local. , lo que implica que los dispositivos objetivo son de acceso público a través de Internet.

«El actor de amenazas intenta acceder a un dispositivo a través de WAN; si tiene éxito, elude la autenticación y establece túneles VPN SSL con cuentas de usuario desconocidas, como ‘zyxel_slIvpn’, ‘zyxel_ts’ o ‘zyxel_vpn_test’, para manipular la configuración del dispositivo, «Zyxel dijo en un Mensaje de correo electrónicoque fue compartida en Twitter.

Al momento de escribir, no se sabe de inmediato si los ataques están explotando vulnerabilidades previamente conocidas en los dispositivos Zyxel o si aprovechan una falla de día cero para violar los sistemas. Tampoco está claro la escala del ataque y la cantidad de usuarios afectados.

Para reducir la superficie de ataque, la empresa recomienda a los clientes que deshabiliten los servicios HTTP/HTTPS de la WAN e implementen una lista de IP geográfica restringida para habilitar el acceso remoto solo desde ubicaciones confiables.

A principios de este año, Zyxel reparó una vulnerabilidad crítica en su firmware para eliminar una cuenta de usuario codificada «zyfwp» (CVE-2020-29583) que podría ser abusada por un atacante para iniciar sesión con privilegios administrativos y comprometer la confidencialidad, integridad y disponibilidad del dispositivo.

El desarrollo se produce cuando las VPN empresariales y otros dispositivos de red se han convertido en un objetivo principal de los atacantes en una serie de campañas destinadas a encontrar nuevas vías en las redes corporativas, brindando a los actores de amenazas la capacidad de moverse lateralmente a través de la red y recopilar inteligencia confidencial para espionaje y otras operaciones de motivación financiera.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested