合勤警告SSL VPN、防火墙设备遭黑客锁定

网络设备商合勤(Zyxel)本周发布警告,该公司的VPN、防火墙设备上遭不明人士远程访问。合勤目前正在制作修补程序,呼吁采取该公司建议的防范措施。

合勤发现有一个复杂的威胁攻击手法,锁定该公司USG/ZyWall、USG FLEX、ATP及VPN系列中执行ZLD固件,且打开远程管理或SSL VPN功能的设备。这些都是属于企业级的高端、多功能系统。

这名攻击者企图从广域网络访问设备。一旦成功,他们可能绕过设备的验证机制,并添加未知用户账号借以创建SSL VPN连接,像是zyxel_silvpn、zyxelts、zyxel_vpn_test。这就让攻击者可以操控设备组态。合勤表示他们发现问题后已立即采取必要措施,认为可有效阻止威胁。

所有合勤产品包括VPN、ZyWALL、USG、ATG、USG FLEX系列皆受影响,所有版本ZLD固件也都受影响。

目前合勤正在制作hotfix,在此之前,合勤提供暂时缓解的SOP呼吁用户立即采行,包括检查设备上是否有陌生的用户或管理员账号、未知的路由原则型路由(policy route)、安全防火墙规则、SSL VPN用户或群组,一经发现应立即删除。

虽然合勤并未说明攻击者何以能访问其设备,不过根据其描述以及近日类似案件,可能是漏洞所致。包括Pulse VPN、SonicWall、Fortinet、Palo Alto Networks,皆是因为固件漏洞被发现,而成为黑客攻击目标,或遭到开采。

关于这起安全通报,合勤表示他们也已经发布版中文版信息,指出有少部分USG/ZyWALL、USG FLEX、ATP和VPN系列设备,在网络上遭遇渗透性攻击,遭非法激活远程管理或SSL VPN,并指出运行在Nebula管理模式的设备并不受影响,并说明修补程序发布前的检查应对检查方式。