Am 9. Oktober 2024 berichtete Serhii Boiarynov über neue Bedrohungen, die Zyxel-Sicherheitsgeräte betreffen. Besonders im Fokus stehen die Modelle der USG FLEX und ATP-Serien, die von Angreifern ins Visier genommen wurden, nachdem Schwachstellen in früheren Firmware-Versionen nicht ausreichend durch Passwortänderungen gesichert wurden. Die Zyxel EMEA-Abteilung stellte fest, dass Admin- und Benutzerpasswörter nach früheren Sicherheitsvorfällen nicht aktualisiert wurden, was den Angreifern weiterhin Zugang über entwendete Anmeldedaten ermöglichte.
Betroffene Produkte und Schwachstellen
Betroffen sind Zyxel-Geräte der Serien ATP und USG FLEX, die in der Vergangenheit Remote-Management- oder SSL-VPN-Dienste aktiviert hatten, ohne dass die entsprechenden Passwörter nach Bekanntwerden von Sicherheitslücken geändert wurden. Diese Lücken traten in den Firmware-Versionen ZLD V4.32 bis ZLD V5.38 auf. Benutzer der Nebula-Cloud-Verwaltungsplattform sind davon nicht betroffen.
Angreifer nutzten gestohlene Anmeldedaten, um temporäre Benutzerkonten wie „SUPPOR87“, „SUPPOR817“ oder „VPN“ zu erstellen und Sicherheitseinstellungen zu manipulieren. Insbesondere wurden neue Sicherheitsrichtlinien implementiert, die uneingeschränkten Zugang zum Gerät und zum Netzwerk ermöglichten.
Anzeichen eines kompromittierten Firewallsystems
Ein kompromittiertes Zyxel-Gerät zeigt häufig folgende Symptome:
- Unbekannte SSL-VPN-Benutzer wie „SUPPORT87“ oder „VPN“ verbinden sich mit dem Gerät.
- Anmeldungen von Administrator- und SSL-VPN-Benutzern aus nicht anerkannten IP-Adressen, oft aus anderen Regionen oder Ländern.
- Modifizierte Sicherheitsrichtlinien, die den Zugriff von „ANY to ANY“ oder von WAN zu LAN erlauben.
- Angriffe auf Active Directory (AD): Hacker nutzten gestohlene Administrator-Anmeldedaten, um über die SSL-VPN-Verbindung auf AD-Server zuzugreifen und möglicherweise Dateien zu verschlüsseln.
Schutzmaßnahmen
Um Ihr Gerät zu sichern, sind folgende Schritte unbedingt erforderlich:
- Upgrade der Firmware auf die neueste Version 5.39.
- Ändern Sie ALLE Passwörter: Dies betrifft Administrator- und Benutzerkonten sowie VPN-Schlüssel und Passwörter externer Authentifizierungsserver.
- Löschen Sie unbekannte Benutzer- und Administratorkonten.
- Beenden Sie alle Sitzungen unbekannter Administratoren oder Benutzer und entfernen Sie potenziell kompromittierte Firewall-Regeln.
Best Practices zur Firewall-Konfiguration
Um zukünftige Angriffe zu verhindern, empfiehlt Zyxel folgende Konfigurationsanpassungen:
- Geo-IP-Filter: Blockieren Sie ungewollten Datenverkehr basierend auf geografischen Regionen.
- Anpassen der Ports für HTTPS und SSL-VPN auf nicht standardmäßige Ports.
- Zwei-Faktor-Authentifizierung: Aktivieren Sie 2FA für Administratoren und Benutzer.
- Verwendung eines privaten Verschlüsselungsschlüssels für Konfigurationsdateien.
Durch diese Maßnahmen können Sie sicherstellen, dass Ihre Zyxel-Geräte vor Angriffen geschützt sind. Das rechtzeitige Patchen und das Ändern von Anmeldedaten sind entscheidend, um die Kontrolle über Ihre Netzwerksicherheitsinfrastruktur zu behalten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: