合勤科技称企业防火墙和VPN设备遭复杂攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

该公司表示，“最近我们发现复杂的威胁行动者在攻击少量启用了远程管理或 SLL VPN 的合勤科技安全设备。”该公司表示，攻击针对的是在本地 ZLD 固件上运行的 USG、ZyWALL、USG FLEX、ATP 和 VPN 系列。该公司向企业客户称，这些多功能网络设备是具有 VPN、防火墙和加载平衡能力的系统。

合勤科技公司表示，“我们已发现这种情况，并一直在尽力调查并解决。”

根据合勤科技提供的信息，攻击遵循的模式是，“威胁行动者尝试通过 WAN 访问设备；如访问成功，则会以未知的用户账户（如 “zyxel_sllvpn”、”zyxel_ts” 或 ”zyxel_vpn_test”）绕过认证并建立 SSL VPN 隧道来操纵设备配置。“

美国和英国的合勤科技发言人并未就此事置评或提供更多详情。

截至写作之时，目前尚不清楚攻击者是否在利用老旧漏洞攻击未修复设备，或者是否使用0day 实施攻击。目前也不清楚攻击是否对某些客户造成安全泄露事件或者该公司是否通过蜜罐在攻击早期就已发现攻击，目前该公司正在提前通知客户可能会发生大规模的攻击。

尽管如此，合勤科技认为攻击可得到缓解。

从目前的调查情况来看，维护远程访问的正确安全策略是减少攻击面的最有效方式，因此强烈建议用户遵照如下指南和同源策略：

1、除非必须管理 WAN 端的设备，禁用 WAN 的 HTTP/HTTPS 服务；

2、如仍需管理 WAN 端的设备：

两年来，针对防火墙、VPN 服务器和加载均衡器如合勤科技目前发现的攻击变得常见。这些攻击者是网络间谍组织和受经济利益驱动的组织，他们一般会停留在企业的边缘网络获得设备访问权限并借此跳转到内网。某些电子犯罪组织也经常将这类系统类型的访问权限租赁给勒索团伙，以作为更大规模且破坏性更强的攻击的入口点。

近年来，企业防火墙和 VPN 遭滥用的供应商还包括 Pulse Secure、Palo Alto Network、Fortinet、Citrix、思科、Sonicwall、Sophos 和 F5 Networks。