image

Zyxel adviseert uitschakelen van beheerinterface aan WAN-kant firewall

maandag 5 juni 2023, 09:49 door Redactie, 9 reacties

Zyxel adviseert organisaties die gebruikmaken van de firewalls van de fabrikant om de beheerinterface aan de WAN (wide area network) kant van het apparaat uit te schakelen. Aanleiding zijn de recente aanvallen op firewalls van Zyxel. Eind mei kwam Zyxel met beveiligingsupdates voor twee kritieke kwetsbaarheden waardoor firewalls op afstand zijn over te nemen. Een aantal dagen later bleek een botnet op grote schaal kwetsbare firewalls te compromitteren.

Securitybedrijf Rapid7 spreekt van grootschalig misbruik. Het bedrijf telde 42.000 Zyxel-apparaten die vanaf internet benaderbaar zijn. Het gaat hierbij alleen om firewalls waarvan de webinterface vanaf het internet is te benaderen, wat niet de standaardinstelling is. "Aangezien de kwetsbaarheid in de vpn-service aanwezig is, die standaard op het WAN staat ingeschakeld, denken we dat het daadwerkelijke aantal blootgestelde apparaten veel groter is", aldus onderzoeker Drew Burton.

Volgens securitybedrijf Censys zijn erop internet ruim 24.000 potentieel kwetsbare firewalls en vpn's van Zyxel te vinden die mogelijk kwetsbaar zijn. Meer dan 86 procent daarvan heeft het IKE (Internet Key Exchange) protocol ingeschakeld staan dat voor misbruik van het beveiligingslek vereist is. Zyxel adviseert klanten nu om HTTP/HTTPS-services die voor het beheer van de apparaten wordt gebruikt aan de WAN-kant uit te schakelen, zodat ze niet vanaf het internet benaderbaar zijn. Daarnaast wordt aangeraden, wanneer de IPSec VPN-functie niet wordt gebruikt, om UDP-poorten 500 en 4500 uit te schakelen.

Reacties (9)
05-06-2023, 10:21 door Robby Swartenbroekx
Is dit niet al jaren best practice? Dat zij er nu pas mee komen verbaasd me wel een beetje. Dat niet iedereen de best practices opvolgt dan weer niet en dat je dit als fabrikant dan nog eens regelmatig extra in de verf zet is ook niet meer dan normaal. Maar dit artikel impliceert dat ze dit advies vroeger niet gaven.
05-06-2023, 10:35 door Anoniem
Thuis hebben we een ZYXEL router van t-mobile.
Dat ding heeft niet eens IPv6 op WAN, de lokale webinterface haalt CSS op vanuit een CDN ipv lokaal en het ding is gewoon traag.
Instellingen zijn ook nog eens heel beperkt...

Wat voor een bedrijf is ZYXEL dan, vraag ik me af.
05-06-2023, 11:39 door Anoniem
Door Robby Swartenbroekx: Is dit niet al jaren best practice? Dat zij er nu pas mee komen verbaasd me wel een beetje. Dat niet iedereen de best practices opvolgt dan weer niet en dat je dit als fabrikant dan nog eens regelmatig extra in de verf zet is ook niet meer dan normaal. Maar dit artikel impliceert dat ze dit advies vroeger niet gaven.
Nou ik heb dat niet specifiek voor ZyXEL nagekeken, maar in het algemeen staat dit soort vinkjes standaard wel uit
en is er in de handleiding ook wel een waarschuwing.

Echter je kunt niet oproeien tegen de vele hobbyisten die standaard bij alles wat ze kopen alle "interessante vinkjes"
togglen omdat ze aannemen dat zij het wel beter weten dan de fabrikant.
05-06-2023, 12:09 door Bitje-scheef
Door Anoniem: Thuis hebben we een ZYXEL router van t-mobile.
Dat ding heeft niet eens IPv6 op WAN, de lokale webinterface haalt CSS op vanuit een CDN ipv lokaal en het ding is gewoon traag.
Instellingen zijn ook nog eens heel beperkt...

Wat voor een bedrijf is ZYXEL dan, vraag ik me af.

Denk dat het de keuze van T-mobile is (destijds), Zyxel verkoopt je graag het laatst nieuwe model.
Ook andere merken hebben routers met een ietswat trage beheersinterface maar wel een goede throughput.
05-06-2023, 13:46 door Anoniem
Door Bitje-scheef:
Denk dat het de keuze van T-mobile is (destijds), Zyxel verkoopt je graag het laatst nieuwe model.
Ook andere merken hebben routers met een ietswat trage beheersinterface maar wel een goede throughput.

Oke, goed om te weten dat het niet aan ZYXEL ligt.

T-Mobile (thuis) heeft trouwens ook nog geen plannen voor IPv6 uitrol.
Ja, anno 2023, nu IPv6 al zo'n 25 jaar bestaat en we al 30 jaar lang weten dat we die overstap moeten maken,
hebben ze het nog steeds niet.
Toen ze werden opgericht rond 2003 bestond IPv6 al, het zat zelfs al in Windows XP!
Gemiste kans voor T-mobile, zeggen we maar.
05-06-2023, 15:50 door Anoniem
Door Anoniem: Thuis hebben we een ZYXEL router van t-mobile.
Dat ding heeft niet eens IPv6 op WAN, de lokale webinterface haalt CSS op vanuit een CDN ipv lokaal en het ding is gewoon traag.
Instellingen zijn ook nog eens heel beperkt...

Wat voor een bedrijf is ZYXEL dan, vraag ik me af.
Ehm dat is een t mobile router die als zyxel ingekocht is en daarna custom firmware draait.
Als je USG oid aanschaft heb je een volwaardige firewall, die geheel zelf contained kan werken.
05-06-2023, 16:36 door _R0N_
Door Anoniem:
Door Anoniem: Thuis hebben we een ZYXEL router van t-mobile.
Dat ding heeft niet eens IPv6 op WAN, de lokale webinterface haalt CSS op vanuit een CDN ipv lokaal en het ding is gewoon traag.
Instellingen zijn ook nog eens heel beperkt...

Wat voor een bedrijf is ZYXEL dan, vraag ik me af.
Ehm dat is een t mobile router die als zyxel ingekocht is en daarna custom firmware draait.
Als je USG oid aanschaft heb je een volwaardige firewall, die geheel zelf contained kan werken.

Nee hoor, ik heb een Zyxel-Zyxel en die krengen zijn gewoon rete traag in de beheers interface.
06-06-2023, 22:11 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem: Thuis hebben we een ZYXEL router van t-mobile.
Dat ding heeft niet eens IPv6 op WAN, de lokale webinterface haalt CSS op vanuit een CDN ipv lokaal en het ding is gewoon traag.
Instellingen zijn ook nog eens heel beperkt...

Wat voor een bedrijf is ZYXEL dan, vraag ik me af.
Ehm dat is een t mobile router die als zyxel ingekocht is en daarna custom firmware draait.
Als je USG oid aanschaft heb je een volwaardige firewall, die geheel zelf contained kan werken.

Nee hoor, ik heb een Zyxel-Zyxel en die krengen zijn gewoon rete traag in de beheers interface.
Waarom heb je voor die interface een reuze snelheid nodig? Zit je de hele dag aan dat ding te klooien?
07-06-2023, 18:08 door Anoniem
Ik heb een tijd geleden een Netgear AC1950 R6400 geflashed met DD-WRT firmware. Werkt echt uitstekend en ik sta nog steeds versteld van de mogelijkheden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.