Recursos afectados
- VPN
- USG
- ZyWALL
- ATP
- USG FLEX Series en el modo On-Premise
Con versiones de firmware: FCS / date codes / weekly version
Descripción
Los ciberdelincuentes tendrían como objetivo los recursos afectados de Zyxel que tengan la gestión remota o SSL VPN habilitada. Una vez que acceden al dispositivo afectado, podrían entrar en la red local de la empresa.
Solución
Por el momento, Zyxel recomienda mantener una política de seguridad adecuada para el acceso remoto a los dispositivos afectados para protegerse de esta vulnerabilidad, por lo que ha publicado una guía para la configuración de la política de acceso remoto. Zyxel recomienda concretamente a los administradores:
- Eliminar todas las cuentas de administrador y de usuario desconocidas, en caso de haber sido creadas.
- Eliminar políticas de ruta 1 si son desconocidas.
- Eliminar reglas del cortafuegos y políticas de seguridad desconocidas.
- Eliminar el grupo/usuarios configurados con «SSL VPN» desconocidos.
Y en caso de requerir ayuda, contactar con el Soporte de Zyxel.
El aviso de Zyxel incluye videos de ayuda para configurar los dispositivos con los mínimos privilegios posibles, cerrar puertos, cambiar la contraseña, parchear los dispositivos con las últimas versiones de firmware y utilizar autenticación de dos factores. También desde Zyxel indican que están trabajando en otras contramedidas para mitigar la amenaza.
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados.
Detalle
A través de esta vulnerabilidad, los atacantes intentan acceder a los dispositivos mencionados en el apartado de recursos afectados a través de la WAN (Wide Area Network). Si lo consiguen, se saltan la autenticación, estableciendo túneles SSL VPN con cuentas de usuario desconocidas para manipular la configuración del dispositivo.
El dispositivo afectado podría estar comprometido si los usuarios experimentan dificultades de acceso a la VPN, tráfico inusual, problemas de enrutamiento o de inicio de sesión. También si aparecen parámetros de configuración desconocidos o problemas con la contraseña.
