小心！主动网络攻击下的 Zyxel 防火墙和 VPN

台湾网络设备公司 Zyxel 警告客户，针对其安全产品“一小部分”的持续攻击，例如防火墙和 VPN 服务器。

该公司将这些攻击归咎于“复杂的威胁行为者”，并指出这些攻击会挑出启用了远程管理或 SSL VPN 的设备，即运行本地 ZLD 固件的 USG/ZyWALL、USG FLEX、ATP 和 VPN 系列，这意味着目标设备可通过互联网公开访问。

“威胁行为者尝试通过 WAN 访问设备；如果成功，他们将绕过身份验证并使用未知用户帐户（例如‘zyxel_slIvpn’、‘zyxel_ts’或‘zyxel_vpn_test’）建立 SSL VPN 隧道，以操纵设备的配置， ”合勤在 Twitter 上分享的一封电子邮件中说。

在撰写本文时，目前尚不清楚这些攻击是利用 Zyxel 设备中先前已知的漏洞，还是利用零日漏洞来破坏系统。同样不清楚的是攻击的规模和受影响的用户数量。

为了减少攻击面，该公司建议客户禁用来自 WAN 的 HTTP/HTTPS 服务并实施受限制的地理 IP 列表，以仅从受信任的位置启用远程访问。

今年早些时候，Zyxel 修补了其固件中的一个关键漏洞，以删除一个硬编码的用户帐户“zyfwp”（CVE-2020-29583），攻击者可能会滥用该帐户以管理权限登录并破坏机密性、完整性和设备的可用性。

随着企业 VPN和其他网络设备在一系列旨在寻找进入企业网络的新途径的活动中，企业 VPN和其他网络设备已成为攻击者的首要目标，从而使威胁行为者能够横向移动网络并收集敏感情报以进行间谍活动和其他出于财务动机的业务。