Công ty thiết bị mạng Đài Loan Zyxel đang cảnh báo khách hàng về một cuộc tấn công đang diễn ra nhằm vào một “tập hợp con” các sản phẩm bảo mật của họ như tường lửa và máy chủ VPN.
Quy các cuộc tấn công cho một “tác nhân đe dọa tinh vi”, công ty lưu ý rằng các cuộc tấn công chỉ đơn lẻ ra các thiết bị có chức năng quản lý từ xa hoặc SSL VPN được kích hoạt, cụ thể là trong dòng USG / ZyWALL, USG FLEX, ATP và VPN chạy chương trình cơ sở ZLD tại chỗ , ngụ ý rằng các thiết bị được nhắm mục tiêu có thể truy cập công khai qua Internet.
“Kẻ đe dọa cố gắng truy cập vào một thiết bị thông qua mạng WAN. Nếu thành công, chúng sẽ bỏ qua xác thực và thiết lập các đường hầm SSL VPN với các tài khoản người dùng không xác định, chẳng hạn như ‘zyxel_slIvpn’, ‘zyxel_ts’ hoặc ‘zyxel_vpn_test’, để thao túng cấu hình của thiết bị” Zyxel cho biết trong một email được chia sẻ trên Twitter.
Chưa rõ liệu các cuộc tấn công có đang khai thác các lỗ hổng đã biết trước đây trong các thiết bị Zyxel hay chúng tận dụng lỗ hổng zero-day để xâm phạm hệ thống. Cũng không rõ là quy mô của cuộc tấn công và số lượng người dùng bị ảnh hưởng.
Để giảm nguy cơ bị tấn công, công ty khuyến nghị khách hàng vô hiệu hóa các dịch vụ HTTP / HTTPS từ mạng WAN và triển khai danh sách địa lý địa lý bị hạn chế để chỉ cho phép truy cập từ xa từ các địa điểm đáng tin cậy.
Đầu năm nay, Zyxel đã vá một lỗ hổng nghiêm trọng trong chương trình cơ sở của mình để xóa tài khoản người dùng được mã hóa cứng “zyfwp” ( CVE-2020-29583 ) có thể bị kẻ tấn công lợi dụng để đăng nhập bằng các đặc quyền quản trị và xâm phạm tính bảo mật, tính toàn vẹn và tính khả dụng của thiết bị.
Sự phát triển này diễn ra khi các VPN doanh nghiệp và các thiết bị mạng khác trở thành mục tiêu hàng đầu của những kẻ tấn công trong một loạt các chiến dịch nhằm tìm kiếm các con đường mới vào các mạng công ty.
Những cuộc tấn công này mang lại cho các tác nhân đe dọa khả năng di chuyển ngang qua mạng và thu thập thông tin tình báo nhạy cảm cho hoạt động gián điệp và các hoạt động khác có động cơ tài chính.
Fanpage: Trí Việt JSC ( Theo thehackernews )