image

"Zyxel-firewalls op grote schaal gecompromitteerd door Mirai-botnet"

zaterdag 27 mei 2023, 09:35 door Redactie, 9 reacties

Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren.

Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was.

Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen.

Reacties (9)
27-05-2023, 10:47 door Anoniem
Wie zijn toch die mensen die hun router beheerbaar maken vanaf internet door de web interface open te zetten???
27-05-2023, 13:55 door Anoniem
Door Anoniem: Wie zijn toch die mensen die hun router beheerbaar maken vanaf internet door de web interface open te zetten???

Voor een thuisgebruiker met één lokatie is het inderdaad wel raar.

Maar stel, je bent een klein bedrijfje , met een kantoortje in Groningen, Maastricht, Vlissingen en Den Helder.
Je bent of hebt een halve beheerder - dan ga je opeens wel denken over 'remote' management , want je hebt echt geen lokale beheerders aan de interne kant van die al die kantoor firewalletjes .

Nog leuker, die dingen staan bij een stel home offices, en de "beheerder" is ook een home office .

Technisch zou je graag een packet filter hebben voor een paar trusted IP reeksen (want dat is meestal betrouwbaarder qua implementatie dan een webserver + een stel scripten, zoals hier blijkt) .
Maar als je niet een paar stabiele IP reeksen hebt van "het hoofdkantoor" wordt het al helemaal lastig om het goed te doen.

En dan opeens gaat een 'small business' situatie behoorlijk goed geschoolde beheerders vragen om het ook nog technisch 'veilig genoeg' te doen. Soms heeft zo'n business het geluk dat hun computer man (of letterlijk de boekhouder) toevallig gewoon een erg goede hobbyist is. Ook een hoop MKB support/leveranciers zijn lang niet altijd heel goed .
En - laten we eerlijk zijn - je zou normaal toch wel iets mogen verwachten dat een *firewall* z'n eigen broek kan ophouden qua security. Je koopt een *firewall*, je gebruikt TLS op de webinterface , en je gebruikt goede passwords en misschien ook 2FA .
Heb je het dan _zo_ verkeerd gedaan ?

Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
27-05-2023, 15:50 door Anoniem
Overzicht van Mirai verspreiding:
https://urlhaus.abuse.ch/browse/
Zoek onder Mirai.
27-05-2023, 18:29 door Anoniem
Dat zal wel al die rotzooi zijn die door ISP’s uitgedeeld wordt.
27-05-2023, 18:33 door Anoniem
Door Anoniem:
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .

Oh maar dat is vast wel zo! IPsec implementaties worden gemaakt door security specialisten, webservers en de truukjes
om "inloggen" en "uitvoeren van admin commands" mogelijk te maken worden meestal door de jongste bediendes
gemaakt, en door copy/paste "deskundigen" zoals webbouwers.
27-05-2023, 20:35 door Anoniem
Door Anoniem:
Door Anoniem: Wie zijn toch die mensen die hun router beheerbaar maken vanaf internet door de web interface open te zetten???

Voor een thuisgebruiker met één lokatie is het inderdaad wel raar.

Maar stel, je bent een klein bedrijfje , met een kantoortje in Groningen, Maastricht, Vlissingen en Den Helder.
Je bent of hebt een halve beheerder - dan ga je opeens wel denken over 'remote' management , want je hebt echt geen lokale beheerders aan de interne kant van die al die kantoor firewalletjes .

Nog leuker, die dingen staan bij een stel home offices, en de "beheerder" is ook een home office .

Technisch zou je graag een packet filter hebben voor een paar trusted IP reeksen (want dat is meestal betrouwbaarder qua implementatie dan een webserver + een stel scripten, zoals hier blijkt) .
Maar als je niet een paar stabiele IP reeksen hebt van "het hoofdkantoor" wordt het al helemaal lastig om het goed te doen.

En dan opeens gaat een 'small business' situatie behoorlijk goed geschoolde beheerders vragen om het ook nog technisch 'veilig genoeg' te doen. Soms heeft zo'n business het geluk dat hun computer man (of letterlijk de boekhouder) toevallig gewoon een erg goede hobbyist is. Ook een hoop MKB support/leveranciers zijn lang niet altijd heel goed .
En - laten we eerlijk zijn - je zou normaal toch wel iets mogen verwachten dat een *firewall* z'n eigen broek kan ophouden qua security. Je koopt een *firewall*, je gebruikt TLS op de webinterface , en je gebruikt goede passwords en misschien ook 2FA .
Heb je het dan _zo_ verkeerd gedaan ?

Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .

Die dingen hebben een firewall aan boord dus je kan zowel ike als webinterface toegankelijk maken voor een heel beperkt aantal adressen.
30-05-2023, 09:03 door Anoniem
Door Anoniem:
Door Anoniem:
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .

Oh maar dat is vast wel zo! IPsec implementaties worden gemaakt door security specialisten, webservers en de truukjes
om "inloggen" en "uitvoeren van admin commands" mogelijk te maken worden meestal door de jongste bediendes
gemaakt, en door copy/paste "deskundigen" zoals webbouwers.

Exact!
Het track record is ook behoorlijk goed vergeleken met veel andere zaken.
Daarnaast heb je met road warriors vaak geen andere opties dan 4500 en 500 naar het web open te zetten.
Ik maak me daar dan ook niet echt druk over.

Security is sowieso altijd een compromis tussen veiligheid en functionaliteit.
Het veiligste is om de stekker er uit te halen en het meest functionele is om alles volledig open te hebben staan.
30-05-2023, 09:13 door Anoniem
Door Anoniem: Dat zal wel al die rotzooi zijn die door ISP’s uitgedeeld wordt.
ik heb ook zo'n ding van t-mobile (glasvezel).
30-05-2023, 12:16 door Bitje-scheef
Door Anoniem:
Door Anoniem: Dat zal wel al die rotzooi zijn die door ISP’s uitgedeeld wordt.
ik heb ook zo'n ding van t-mobile (glasvezel).

Daar houdt een ISP bij de selectie rekening mee. Zyxel is een redelijk betrouwbare firma. Dus weer lekker in de rondte slaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.