Zyxel USG FLEX und ATP-Serie – Upgrade Ihrer Geräte und Passwörter zum Schutz vor Hackerangriffen

Table of Contents

Am 9. Oktober 2024 berichtete Serhii Boiarynov über neue Bedrohungen, die Zyxel-Sicherheitsgeräte betreffen. Besonders im Fokus stehen die Modelle der USG FLEX und ATP-Serien, die von Angreifern ins Visier genommen wurden, nachdem Schwachstellen in früheren Firmware-Versionen nicht ausreichend durch Passwortänderungen gesichert wurden. Die Zyxel EMEA-Abteilung stellte fest, dass Admin- und Benutzerpasswörter nach früheren Sicherheitsvorfällen nicht aktualisiert wurden, was den Angreifern weiterhin Zugang über entwendete Anmeldedaten ermöglichte.

Betroffene Produkte und Schwachstellen

Betroffen sind Zyxel-Geräte der Serien ATP und USG FLEX, die in der Vergangenheit Remote-Management- oder SSL-VPN-Dienste aktiviert hatten, ohne dass die entsprechenden Passwörter nach Bekanntwerden von Sicherheitslücken geändert wurden. Diese Lücken traten in den Firmware-Versionen ZLD V4.32 bis ZLD V5.38 auf. Benutzer der Nebula-Cloud-Verwaltungsplattform sind davon nicht betroffen.

Angreifer nutzten gestohlene Anmeldedaten, um temporäre Benutzerkonten wie “SUPPOR87”, “SUPPOR817” oder “VPN” zu erstellen und Sicherheitseinstellungen zu manipulieren. Insbesondere wurden neue Sicherheitsrichtlinien implementiert, die uneingeschränkten Zugang zum Gerät und zum Netzwerk ermöglichten.

Anzeichen eines kompromittierten Firewallsystems

Ein kompromittiertes Zyxel-Gerät zeigt häufig folgende Symptome:

  1. Unbekannte SSL-VPN-Benutzer wie “SUPPORT87” oder “VPN” verbinden sich mit dem Gerät.
  2. Anmeldungen von Administrator- und SSL-VPN-Benutzern aus nicht anerkannten IP-Adressen, oft aus anderen Regionen oder Ländern.
  3. Modifizierte Sicherheitsrichtlinien, die den Zugriff von „ANY to ANY“ oder von WAN zu LAN erlauben.
  4. Angriffe auf Active Directory (AD): Hacker nutzten gestohlene Administrator-Anmeldedaten, um über die SSL-VPN-Verbindung auf AD-Server zuzugreifen und möglicherweise Dateien zu verschlüsseln.

Schutzmaßnahmen

Um Ihr Gerät zu sichern, sind folgende Schritte unbedingt erforderlich:

  1. Upgrade der Firmware auf die neueste Version 5.39.
  2. Ändern Sie ALLE Passwörter: Dies betrifft Administrator- und Benutzerkonten sowie VPN-Schlüssel und Passwörter externer Authentifizierungsserver.
  3. Löschen Sie unbekannte Benutzer- und Administratorkonten.
  4. Beenden Sie alle Sitzungen unbekannter Administratoren oder Benutzer und entfernen Sie potenziell kompromittierte Firewall-Regeln.

Best Practices zur Firewall-Konfiguration

Um zukünftige Angriffe zu verhindern, empfiehlt Zyxel folgende Konfigurationsanpassungen:

  • Geo-IP-Filter: Blockieren Sie ungewollten Datenverkehr basierend auf geografischen Regionen.
  • Anpassen der Ports für HTTPS und SSL-VPN auf nicht standardmäßige Ports.
  • Zwei-Faktor-Authentifizierung: Aktivieren Sie 2FA für Administratoren und Benutzer.
  • Verwendung eines privaten Verschlüsselungsschlüssels für Konfigurationsdateien.

Durch diese Maßnahmen können Sie sicherstellen, dass Ihre Zyxel-Geräte vor Angriffen geschützt sind. Das rechtzeitige Patchen und das Ändern von Anmeldedaten sind entscheidend, um die Kontrolle über Ihre Netzwerksicherheitsinfrastruktur zu behalten.

Related Posts

RCE Schwachstelle CVE-2024-47191 im OATH Toolkit aufgetaucht

Eine potentielle RCE Schwachstelle wurde im OATH Toolkit entdeckt, einem beliebten Open-Source-Toolset zur Implementierung von Einmalpasswörtern (OTP) gemäß dem OATH-Standard. Die Lücke CVE-2024-47191 ermöglicht es einem Angreifer, den Speicherbereich zu überschreiben, was zu unautorisierten Aktionen oder sogar Remote Code Execution führen kann. Betroffen sind Anwendungen, die OATH-basierte OTP-Lösungen nutzen. Administratoren und Entwickler sollten dringend ihre Versionen überprüfen und auf den neuesten Patch aktualisieren, um das Risiko zu minimieren.

Read More

Hackerangriff auf Casio führt zu Systemausfall

Casio hat bestätigt, dass sein Netzwerk am 5. Oktober 2024 von einer dritten Partei illegal angegriffen wurde. Eine interne Untersuchung ergab, dass der unbefugte Zugriff zu einem Systemausfall führte, der die Verfügbarkeit bestimmter Dienste beeinträchtigte.

Read More

Palo Alto Expedition: CVE-2024-5910 führt zur vollständigen Kompromittierung

Vor kurzem hat Horizon3.ai schwerwiegende Sicherheitslücken in der Palo Alto Networks’ Expedition-Software entdeckt und untersucht. Diese Schwachstellen, die in einem Blogpost detailliert beschrieben wurden, ermöglichen es Angreifern, das System vollständig zu kompromittieren, beginnend mit einer N-Day-Sicherheitslücke (CVE-2024-5910) bis hin zu einer vollständigen Übernahme der Administratorrechte.

Read More