Zyxel waarschuwt klanten voor ransomware-aanvallen op kwetsbare firewalls en roept op direct de laatste firmware-update te installeren. Aanleiding is berichtgeving van securitybedrijf Sekoia over aanvallen door de Helldown-ransomware. Tijdens onderzoek naar de aanvallen ontdekten onderzoekers dat zeker acht slachtoffers gebruikmaakten van Zyxel-firewalls.

De firewalls in kwestie werden als IPSec VPN access points gebruikt. Zyxel kwam begin september met een beveiligingsbulletin waarin voor verschillende kwetsbaarheden in Zyxel-firewalls werd gewaarschuwd. Eén van de kwetsbaarheden maakt command injection in de IPSec vpn-feature van de firewall mogelijk. Hierdoor kan een ongeauthenticeerde aanvaller, door een speciaal geprepareerde gebruikersnaam te versturen, op afstand OS-commando's op de firewall uitvoeren.

Misbruik is alleen mogelijk als de firewall is ingesteld in de 'User-Based-PSK authentication mode' en er een geldige gebruiker bestaat met een lange gebruikersnaam van meer dan 28 karakters. In oktober kwam Zyxel al met een waarschuwing voor aanvallen op kwetsbare firewalls. Naar aanleiding van de berichtgeving door Sekoia is het bedrijf nu met een nieuwe waarschuwing gekomen, waarin het stelt dat firewalls met firmware versie 5.39 of nieuwer niet kwetsbaar zijn.