"Zyxel-firewalls op grote schaal gecompromitteerd door Mirai-botnet"
Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren.
Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was.
Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen.
Voor een thuisgebruiker met één lokatie is het inderdaad wel raar.
Maar stel, je bent een klein bedrijfje , met een kantoortje in Groningen, Maastricht, Vlissingen en Den Helder.
Je bent of hebt een halve beheerder - dan ga je opeens wel denken over 'remote' management , want je hebt echt geen lokale beheerders aan de interne kant van die al die kantoor firewalletjes .
Nog leuker, die dingen staan bij een stel home offices, en de "beheerder" is ook een home office .
Technisch zou je graag een packet filter hebben voor een paar trusted IP reeksen (want dat is meestal betrouwbaarder qua implementatie dan een webserver + een stel scripten, zoals hier blijkt) .
Maar als je niet een paar stabiele IP reeksen hebt van "het hoofdkantoor" wordt het al helemaal lastig om het goed te doen.
En dan opeens gaat een 'small business' situatie behoorlijk goed geschoolde beheerders vragen om het ook nog technisch 'veilig genoeg' te doen. Soms heeft zo'n business het geluk dat hun computer man (of letterlijk de boekhouder) toevallig gewoon een erg goede hobbyist is. Ook een hoop MKB support/leveranciers zijn lang niet altijd heel goed .
En - laten we eerlijk zijn - je zou normaal toch wel iets mogen verwachten dat een *firewall* z'n eigen broek kan ophouden qua security. Je koopt een *firewall*, je gebruikt TLS op de webinterface , en je gebruikt goede passwords en misschien ook 2FA .
Heb je het dan _zo_ verkeerd gedaan ?
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
Oh maar dat is vast wel zo! IPsec implementaties worden gemaakt door security specialisten, webservers en de truukjes
om "inloggen" en "uitvoeren van admin commands" mogelijk te maken worden meestal door de jongste bediendes
gemaakt, en door copy/paste "deskundigen" zoals webbouwers.
Voor een thuisgebruiker met één lokatie is het inderdaad wel raar.
Maar stel, je bent een klein bedrijfje , met een kantoortje in Groningen, Maastricht, Vlissingen en Den Helder.
Je bent of hebt een halve beheerder - dan ga je opeens wel denken over 'remote' management , want je hebt echt geen lokale beheerders aan de interne kant van die al die kantoor firewalletjes .
Nog leuker, die dingen staan bij een stel home offices, en de "beheerder" is ook een home office .
Technisch zou je graag een packet filter hebben voor een paar trusted IP reeksen (want dat is meestal betrouwbaarder qua implementatie dan een webserver + een stel scripten, zoals hier blijkt) .
Maar als je niet een paar stabiele IP reeksen hebt van "het hoofdkantoor" wordt het al helemaal lastig om het goed te doen.
En dan opeens gaat een 'small business' situatie behoorlijk goed geschoolde beheerders vragen om het ook nog technisch 'veilig genoeg' te doen. Soms heeft zo'n business het geluk dat hun computer man (of letterlijk de boekhouder) toevallig gewoon een erg goede hobbyist is. Ook een hoop MKB support/leveranciers zijn lang niet altijd heel goed .
En - laten we eerlijk zijn - je zou normaal toch wel iets mogen verwachten dat een *firewall* z'n eigen broek kan ophouden qua security. Je koopt een *firewall*, je gebruikt TLS op de webinterface , en je gebruikt goede passwords en misschien ook 2FA .
Heb je het dan _zo_ verkeerd gedaan ?
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
Die dingen hebben een firewall aan boord dus je kan zowel ike als webinterface toegankelijk maken voor een heel beperkt aantal adressen.
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
Oh maar dat is vast wel zo! IPsec implementaties worden gemaakt door security specialisten, webservers en de truukjes
om "inloggen" en "uitvoeren van admin commands" mogelijk te maken worden meestal door de jongste bediendes
gemaakt, en door copy/paste "deskundigen" zoals webbouwers.
Exact!
Het track record is ook behoorlijk goed vergeleken met veel andere zaken.
Daarnaast heb je met road warriors vaak geen andere opties dan 4500 en 500 naar het web open te zetten.
Ik maak me daar dan ook niet echt druk over.
Security is sowieso altijd een compromis tussen veiligheid en functionaliteit.
Het veiligste is om de stekker er uit te halen en het meest functionele is om alles volledig open te hebben staan.
Daar houdt een ISP bij de selectie rekening mee. Zyxel is een redelijk betrouwbare firma. Dus weer lekker in de rondte slaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
