Posté le juin 25, 2021 à 9:21

LES HACKERS CIBLENT LES PARE-FEU, PRÉVIENT LE FABRICANT DE DISPOSITIFS VPN ZYXEL

Un rapport récent a révélé que les routeurs et les dispositifs VPN de Zyxel sont la cible de hackers sophistiqués. Le fabricant de dispositifs VPN a publié une alerte sur l’attaque, avertissant que les acteurs de la menace modifient les configurations pour avoir accès aux dispositifs ciblés.

Les hackers intensifient leurs efforts pour cibler les fabricants de dispositifs VPN et les entreprises. La dernière révélation de Zyxel est l’une des nombreuses attaques de ce type menées ces derniers mois.

Selon le rapport, l’attaque actuelle affecte les organisations qui utilisent les dispositifs de la série VPN fonctionnant avec le micrologiciel ZLD, les pare-feu Advanced Threat Protection (ATP), le pare-feu combiné USG FLEX, ZyWALL, ainsi que Unified Security Gateway.

L’attaque vise les appareils exposés à l’Internet

Dans un courriel, la société a informé les utilisateurs que les hackers ciblent également les appareils de sécurité qui sont dotés d’un VPN SSL ou d’une fonction de gestion à distance.

Bien que le contenu de l’e-mail soit bref, il semble indiquer que l’attaque vise des appareils particulièrement connectés à Internet.

Une fois que les acteurs de la menace ont obtenu l’accès à l’appareil ciblé, ils peuvent se connecter à des comptes précédemment inconnus dans les appareils.

Le mail  indique également que l’entreprise travaille sérieusement à résoudre la situation. Il demande en outre aux utilisateurs d’activer l’authentification à deux facteurs afin de rendre très difficile l’accès des acteurs de la menace à leurs appareils.

 « Nous sommes conscients de la situation et nous faisons de notre mieux pour l’examiner et la résoudre », indique le mail.

On ne sait pas si les vulnérabilités exploitées par les attaquants étaient déjà connues ou nouvelles. On ne sait pas non plus combien d’utilisateurs ont été ciblés jusqu’à présent, ni quelle localisation géographique subit le plus d’attaques. On ne sait pas non plus si les acteurs de la menace tentent toujours de compromettre les appareils des clients ou s’ils réussissent dans leurs tentatives.

L’entreprise fournira bientôt un correctif

Zyxel a également élaboré des directives qui peuvent aider les utilisateurs à ne pas être victimes de l’attaque. L’entreprise a envoyé une procédure normalisée à tous les utilisateurs enregistrés d’appareils des séries ATP, USG FLEX, USG/ZyWALL ou VPN. En outre, Zyxel indique qu’elle publiera une mise à jour du micrologiciel qui résoudra le problème de sécurité de l’interface utilisateur.

Selon Zyxel, la mise à jour permettra de diminuer le nombre d’attaques.

Zyxel continue d’enquêter sur les incidences et indique que de plus amples détails seront divulgués lorsque de nouveaux éléments seront découverts.

Mais jusqu’à présent, la vulnérabilité présente certaines des caractéristiques du bug CVE-2020-29583, qui provient de comptes non documentés disposant de droits administratifs complets. La vulnérabilité a été corrigée en janvier et le compte était répertorié sous le nom de « Zyfwp », qui n’apparaît pas dans l’e-mail envoyé aux clients cette semaine.

Les clients sont invités à suivre les directives d’atténuation fournies par la société pour s’assurer que leurs dispositifs Zyxel sont à l’abri des exploitations des hackers.

Ils sont également invités à se méfier des attaques de phishing de plus en plus fréquentes. Parmi les autres mesures que les utilisateurs doivent prendre, citons la configuration de leurs appareils avec le moins de privilèges possibles et l’application de correctifs dès que des mises à jour sont disponibles.

Les menaces croissantes des attaquants sur les dispositifs

En raison de l’augmentation des menaces de cybersécurité, les VPN, les pare-feu et les autres dispositifs de sécurité réseau sont devenus la cible des acteurs malveillants. Ceux-ci peuvent exploiter ces vulnérabilités et accéder aux appareils des utilisateurs. Après avoir obtenu l’accès aux réseaux, les attaquants peuvent avoir un accès plus profond à d’autres zones des appareils, y compris tous les réseaux auxquels les appareils sont connectés.

Zyxel a déclaré que les acteurs de la menace tentent d’accéder aux appareils via le WAN. Lorsqu’ils y accèdent, ils peuvent contourner l’authentification et établir des tunnels VPN SSL en utilisant des comptes d’utilisateur inconnus tels que « zyxel_vpn_test », « zyxel_ts » ou « zyxel_sllvpn ».

Cela montre que les acteurs de la menace utilisent des comptes codés en dur pour accéder à distance aux appareils.

Plus tôt cette année, des chercheurs en sécurité ont découvert des comptes similaires dans le binaire du firmware de Zyxel. Cette vulnérabilité a laissé plus de 100 000 pare-feu et VPN exposés à des attaques.

La société a réaffirmé que les utilisateurs qui ont des difficultés à accéder au VPN ou des problèmes de trafic pourraient avoir affaire à des pare-feu affectés. D’autres indications comprennent également des problèmes de mot de passe et des paramètres de configuration inconnus.

Zyxel a conseillé aux administrateurs de supprimer tous les comptes d’utilisateurs et les administrateurs inconnus créés par les acteurs malveillants. La société indique également qu’ils doivent supprimer du système toute politique de routage et toute règle de pare-feu inconnues.