Zyxel USG FLEX 和 ATP 系列 – 升級您的設備及所有憑證以避免駭客攻擊

Zyxel小編 Corey

前言

Zyxel 團隊已追蹤到威脅行為者針對先前存在漏洞的 Zyxel 安全設備進行攻擊，且管理員密碼未被及時更改。我們建議所有用戶更新所有管理員帳號以確保最佳保護。

根據我們的調查，威脅行為者利用之前漏洞中竊取的有效憑證，由於這些憑證未被更改，攻擊者利用臨時用戶帳號（如「SUPPOR87」、「SUPPOR817」或「vpn」）建立 SSL VPN 通道，進一步修改安全策略，取得設備和網路的存取權限。

受影響的產品

ATP 和 USG FLEX 系列設備在使用本地管理模式（On-Premise Mode）時，如果過去曾啟用遠端管理或 SSL VPN，且管理員帳號的憑證未更新或未啟用雙因素驗證（2FA），則會受到影響。

使用 Nebula 雲端管理模式的設備不受影響。

受影響的韌體版本：ZLD V4.32 至 ZLD 5.38

如何判斷您的防火牆是否受到影響？

截至本文撰寫時，受入侵的防火牆通常會出現以下症狀：

• 來自可疑或未知用戶的 SSL VPN 連線，例如「SUPPORT87」、「SUPPOR817」或「vpn」等，以及任何非由設備管理員創建的 VPN 用戶，應標記為進一步調查對象。

• 來自未識別 IP 位址的管理員和 SSL VPN 用戶登錄。雖然大多數連線來自世界其他地區，但我們發現有駭客從歐洲國家連線，可能使用其他 VPN 服務。
• 如果您的設備啟用了 SecuReporter，活動日誌會顯示攻擊者使用管理員帳號登入，然後創建 SSL VPN 用戶，並在 VPN 連線後刪除這些用戶。
• 安全策略被創建或修改，將存取權限從 「ANY to ANY」 或 「SSL VPN 到 Zywall 和 LAN」 開放，也可能開放現有 NAT 規則中的 WAN 到 LAN 存取權限。
  • 若有這類相關異常規則，請將其停用觀察或刪除
  • 您可以參考此文章了解如何調整防火牆規則 : 防火牆規則設定教學

修正措施

• 升級韌體： 將設備韌體升級至最新版本 5.39 (如何升級本地管理防火牆韌體)。

• 更改所有密碼： 更換所有密碼，並避免重複使用舊密碼，包括以下各項：
  • 所有管理員/用戶的密碼。
  • VPN 設定中的預共享金鑰（Remote Access 和 Site-to-Site VPN）。
  • 與外部驗證伺服器（如 AD 伺服器和 Radius）的驗證密碼。
  • 切勿使用具管理員權限的用戶與外部驗證伺服器進行溝通。

• 移除不明的管理員和用戶帳號： 如果仍有發現不明帳號，請將其刪除。
  
  

• 強制登出不明的使用者和管理員： 將所有未被認可的用戶和管理員強制登出。

• 移除不必要的防火牆規則： 刪除允許從 WAN、SSL VPN 區域或 "ANY" 來源的存取規則，這些規則不應允許所有存取。

防火牆配置的最佳實踐

以下提到的配置詳細操作步驟，您可以參考此教學文章 : 如何加強防火牆資訊安全，預防資安事件的威脅

1. 檢查防火牆規則配置
   • 使用 GEO IP 國家功能來保護您的防火牆，限制來自不受信任地區的連接。
   • 確保所有來自 WAN 到 ZyWALL 的不受信任連接都設置為「拒絕」規則，並將其置於允許規則之下。
2. 變更服務 Port
   注意： 在修改防火牆配置之前，請確保不會阻止自己的連接。如果通過 SSL VPN 自行連接，修改後，您可能會因為配置變更而斷開與裝置的連線。
   ● 啟用雙因素認證（2FA）來提升安全性。將 HTTPS 的服務 Port 更改為其他 Port。
   ● 將 SSL VPN 的服務 Port 更改為與 HTTPS Port不重疊的其他服務 Port。
3. 設置雙因素驗證
   • 啟用雙因素認證（2FA）來提升安全性。
   • 設定教學請參考此文章 : 如何在管理員登入時使用Google Authenticator兩階段認證？
4. 為配置文件添加私密加密金鑰
   • 為您的防火牆設定檔添加加密金鑰以進一步保護您的設置。
   • 設定頁面請前往【維護 > 檔案管理程式 > 設定檔 > 設定】，開啟進階設定