Zyxel warns customers of attacks on its enterprise firewall and VPN devices
2021/06/24 SecurityAffairs — ネットワーク機器ベンダーの Zyxel が、同社のエンタープライズ・ファイアウォールおよび VPN サーバーを標的とした一連の攻撃について、顧客に対する警告を発した。この攻撃における脅威アクターは、オンプレミスの ZLD ファームウェアを実行する、USG / ZyWALL / USG FLEX / ATP / VPN シリーズを標的としている。なお、Nebulacloud management mode を実行している機器は影響を受けないと、同社は述べている。
同社から顧客に送られたメールには、「最近のことだが、リモート管理や SSL VPN を有効にしている Zyxel セキュリティ・アプライアンスの一部において、つまりオンプレミス ZLD ファームウェアを実行しているシリーズを標的として、高度な脅威アクターが活動していることを認識した。すでに状況は認識しており、調査と解決に向けて最善を尽くす」と記載されている。このベンダーの報告によると、攻撃者は WAN を介してネットワーク機器にアクセスしようとする。そして、デバイスへのアクセスに成功すると、認証をバイパスして、未知のユーザーアカウント zyxel_slIvpn / zyxel_ts / zyxel_vpn_test などで SSL VPN トンネルを確立し、デバイスの設定を操作する。
この記事では、ハッカーが既知の脆弱性を利用しているのか、ゼロデイの欠陥を利用しているのかを明らかにしていないと、指摘されています。また、この記事が執筆されている時点では、ハッカーが侵入した顧客についても明らかされていません。
IoT OT Security News 