网络设备商合勤(zyxel)本周发布警告,该公司的vpn、防火墙设备上遭不明人士远程访问。合勤目前正在制作修补程序,呼吁采取该公司建议的防范措施。
合勤发现有一个复杂的威胁攻击手法,锁定该公司usg/zywall、usg flex、atp及vpn系列中执行zld固件,且打开远程管理或ssl vpn功能的设备。这些都是属于企业级的高端、多功能系统。
这名攻击者企图从广域网络访问设备。一旦成功,他们可能绕过设备的验证机制,并添加未知用户账号借以创建ssl vpn连接,像是zyxel_silvpn、zyxelts、zyxel_vpn_test。这就让攻击者可以操控设备组态。合勤表示他们发现问题后已立即采取必要措施,认为可有效阻止威胁。
所有合勤产品包括vpn、zywall、usg、atg、usg flex系列皆受影响,所有版本zld固件也都受影响。
目前合勤正在制作hotfix,在此之前,合勤提供暂时缓解的sop呼吁用户立即采行,包括检查设备上是否有陌生的用户或管理员账号、未知的路由原则型路由(policy route)、安全防火墙规则、ssl vpn用户或群组,一经发现应立即删除。
虽然合勤并未说明攻击者何以能访问其设备,不过根据其描述以及近日类似案件,可能是漏洞所致。包括pulse vpn、sonicwall、fortinet、palo alto networks,皆是因为固件漏洞被发现,而成为黑客攻击目标,或遭到开采。
关于这起安全通报,合勤表示他们也已经发布版中文版信息,指出有少部分usg/zywall、usg flex、atp和vpn系列设备,在网络上遭遇渗透性攻击,遭非法激活远程管理或ssl vpn,并指出运行在nebula管理模式的设备并不受影响,并说明修补程序发布前的检查应对检查方式。