Tayvanlı ağ ekipmanı şirketi Zyxel, müşterilerini güvenlik duvarı ve VPN sunucuları gibi güvenlik ürünlerinin “küçük bir alt kümesini” hedef alan devam eden bir saldırı konusunda uyarıyor.
Saldırıları “sofistike bir tehdit aktörüne” bağlayan firma, saldırıların, uzaktan yönetim veya SSL VPN’in etkinleştirildiği, yani yerinde ZLD bellenimi çalıştıran USG/ZyWALL, USG FLEX, ATP ve VPN serilerindeki cihazları ayırdığını kaydetti. Bu da hedeflenen cihazların internet üzerinden herkese açık olduğunu ima eder.
Tehdit aktörü bir cihaza WAN aracılığıyla erişmeye çalışır; başarılı olursa, kimlik doğrulamasını atlar ve cihazın yapılandırmasını değiştirmek için ‘zyxel_slIvpn’, ‘zyxel_ts’ veya ‘zyxel_vpn_test’ gibi bilinmeyen kullanıcı hesaplarıyla SSL VPN tünelleri kurar.” diyen Zyxel bunu bir e-posta ile kullanıcılarına bildirdi.
Şu anda saldırıların Zyxel cihazlarındaki önceden bilinen güvenlik açıklarından yararlanıp yararlanmadığı veya sistemleri ihlal etmek için sıfır gün kusurundan yararlanıp yararlanmadığı hemen bilinmiyor. Ayrıca saldırının ölçeği ve etkilenen kullanıcı sayısı da belirsiz.
Saldırı yüzeyini azaltmak için şirket, müşterilere WAN’dan HTTP/HTTPS hizmetlerini devre dışı bırakmalarını ve yalnızca güvenilir konumlardan uzaktan erişim sağlamak için bir kısıtlı coğrafi IP listesi uygulamalarını tavsiye ediyor.
Bu yılın başlarında, Zyxel, bir saldırgan tarafından yönetici ayrıcalıklarıyla oturum açmak, gizliliği, bütünlüğü ve güvenliği tehlikeye atmak için kötüye kullanılabilecek sabit kodlanmış bir kullanıcı hesabını “zyfwp” (CVE-2020-29583) kaldırmak için yazılımını yamalamıştı.
Gelişme, kurumsal VPN’lerin ve diğer ağ cihazlarının, kurumsal ağlara yeni yollar bulmayı amaçlayan bir dizi kampanyada saldırganların en büyük hedefi haline gelmesiyle ortaya çıktı ve tehdit aktörlerine ağ üzerinde yanal olarak hareket etme ve casusluk için hassas istihbarat toplama yeteneği verdi.