-
09/04/2020
-
93
-
613 bài viết
Cảnh báo: Các sản phẩm tường lửa và VPN của Zyxel đang bị tấn công
Mới đây, công ty thiết bị mạng Đài Loan Zyxel đã cảnh báo khách hàng về một cuộc tấn công mạng nhằm vào một số sản phẩm bảo mật của họ như tường lửa và máy chủ VPN.
Theo Zyxel, cuộc tấn công có thể do một kẻ “cao tay” thực hiện, nhắm vào các thiết bị có tính năng quản lý từ xa hoặc mở kết nối SSL VPN và đều có khả năng truy cập công khai qua Internet.
Zyxel cho hay: "Kẻ tấn công cố gắng truy cập một thiết bị thông qua mạng WAN. Nếu thành công, chúng sẽ qua mặt được bước xác thực và thiết lập các đường hầm (tunnel) SSL VPN bằng các tài khoản người dùng không xác định như 'zyxel_slIvpn', 'zyxel_ts' hoặc 'zyxel_vpn_test', từ đó thao tác được trên cấu hình của thiết bị.
Hiện vẫn chưa rõ liệu tin tặc có đang khai thác các lỗ hổng đã biết trước đây trong các thiết bị Zyxel hay tận dụng lỗ hổng Zero-day để xâm nhập vào hệ thống. Các chuyên gia vẫn đang cố gắng xác định quy mô của cuộc tấn công và số lượng người dùng bị ảnh hưởng.
Để giảm nguy cơ bị tấn công, công ty Zyxel khuyến nghị khách hàng vô hiệu hóa các dịch vụ HTTP/HTTPS từ mạng WAN và thiết lập danh sách geo-IP hạn chế, chỉ cho phép truy cập từ các vị trí đáng tin cậy.
Đầu năm nay Zyxel đã vá một lỗ hổng nghiêm trọng trong bản firmware để xóa hardcode tài khoản người dùng “zyfwp” (CVE-2020-29583) nhằm ngăn chặn kẻ tấn công lợi dụng để truy cập bằng đặc quyền quản trị và xâm phạm tính bảo mật, toàn vẹn và sẵn sàng của thiết bị.
Cuộc tấn công này xảy ra trong bối cảnh các sản phẩm VPN dành cho doanh nghiệp và các thiết bị mạng khác trở thành mục tiêu hàng đầu của những kẻ tấn công trong một loạt các chiến dịch nhằm tìm ra các cách thức mới để tấn công vào các mạng công ty. Nếu thực hiện được điều này, chúng sẽ có khả năng hoạt động trên toàn mạng lưới và thu thập thông tin tình báo nhạy cảm với mục đích gián điệp hoặc thực hiện các chiến dịch với động cơ tài chính khác.
Theo Zyxel, cuộc tấn công có thể do một kẻ “cao tay” thực hiện, nhắm vào các thiết bị có tính năng quản lý từ xa hoặc mở kết nối SSL VPN và đều có khả năng truy cập công khai qua Internet.
Zyxel cho hay: "Kẻ tấn công cố gắng truy cập một thiết bị thông qua mạng WAN. Nếu thành công, chúng sẽ qua mặt được bước xác thực và thiết lập các đường hầm (tunnel) SSL VPN bằng các tài khoản người dùng không xác định như 'zyxel_slIvpn', 'zyxel_ts' hoặc 'zyxel_vpn_test', từ đó thao tác được trên cấu hình của thiết bị.
Hiện vẫn chưa rõ liệu tin tặc có đang khai thác các lỗ hổng đã biết trước đây trong các thiết bị Zyxel hay tận dụng lỗ hổng Zero-day để xâm nhập vào hệ thống. Các chuyên gia vẫn đang cố gắng xác định quy mô của cuộc tấn công và số lượng người dùng bị ảnh hưởng.
Để giảm nguy cơ bị tấn công, công ty Zyxel khuyến nghị khách hàng vô hiệu hóa các dịch vụ HTTP/HTTPS từ mạng WAN và thiết lập danh sách geo-IP hạn chế, chỉ cho phép truy cập từ các vị trí đáng tin cậy.
Đầu năm nay Zyxel đã vá một lỗ hổng nghiêm trọng trong bản firmware để xóa hardcode tài khoản người dùng “zyfwp” (CVE-2020-29583) nhằm ngăn chặn kẻ tấn công lợi dụng để truy cập bằng đặc quyền quản trị và xâm phạm tính bảo mật, toàn vẹn và sẵn sàng của thiết bị.
Cuộc tấn công này xảy ra trong bối cảnh các sản phẩm VPN dành cho doanh nghiệp và các thiết bị mạng khác trở thành mục tiêu hàng đầu của những kẻ tấn công trong một loạt các chiến dịch nhằm tìm ra các cách thức mới để tấn công vào các mạng công ty. Nếu thực hiện được điều này, chúng sẽ có khả năng hoạt động trên toàn mạng lưới và thu thập thông tin tình báo nhạy cảm với mục đích gián điệp hoặc thực hiện các chiến dịch với động cơ tài chính khác.
Nguồn: The Hacker News