Sintesi

Il team EMEA Zyxel ha recentemente rilevato attività malevole su dispositivi dei propri clienti precedentemente soggetti a vulnerabilità. Si raccomanda, qualora non fosse già stato effettuato, di modificare le credenziali di tutti gli account utente e amministratore dei dispositivi interessati.

Descrizione

Il team EMEA Zyxel ha recentemente rilevato attività malevole su dispositivi dei propri clienti precedentemente soggetti a vulnerabilità. Sulla base delle analisi svolte, Zyxel afferma che alcuni threat actor siano stati in grado di ottenere delle credenziali valide grazie allo sfruttamento di precedenti vulnerabilità per creare successivamente dei tunnel VPN SSL con utenti temporanei quali “SUPPOR87”, “SUPPOR817” o “VPN” e modificare quindi le policy di sicurezza al fine di garantirsi l’accesso ai dispositivi e alla rete target.

Prodotti e/o versioni affette

ATP e USG FLEX Series in On-Premise Mode con gestione remota o SSL VPN abilitati attualmente o in precedenza e le cui credenziali di amministratore e utente non sono state modificate.

Le vulnerabilità precedenti interessavano le versioni firmware da ZLD V4.32 a ZLD 5.38.

I dispositivi con il cloud management di Nebula attivo non sono interessati dalla problematica.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Riferimenti

https://support.zyxel.eu/hc/en-us/articles/21878875707410-Zyxel-USG-FLEX-and-ATP-series-Upgrading-your-device-and-ALL-credentials-to-avoid-hackers-attacks#h_01J9RQNR0WMDY6W4B00BN32VSC