Piratas informáticos están atacando los firewall y VPN de Zyxel

El popular fabricante de dispositivos de red Zyxel ha lanzado un aviso de seguridad indicando que cibercriminales están realizando ataques a sus firewalls y VPN, con el objetivo de atravesar la seguridad de los equipos e intentar introducirse en la red local de la empresa. La empresa ha indicado que los dispositivos objetivo tienen activada la administración remota vía SSL/TLS y también la VPN habilitada. ¿Quieres conocer todos los dispositivos de Zyzel que están atacando para poder protegerte?

Equipos de Zyxel afectados por estos ataques

Los equipos de Zyzel que están siendo atacados por los ciberdelincuentes son los de la serie USG / ZyWALL, USG FLEX, ATP y también todos los que incorporan VPN que usan el firmware ZLD. En el email que ha enviado Zyzel se ha indicado que los ataques apuntan a los dispositivos que están expuestos a Internet, lógicamente, todos estos dispositivos como firewall o VPN siempre están expuestos a Internet para proteger la red interna de ataques externos.

Este tipo de dispositivos son la «pasarela» para acceder a la red interna previa autenticación contra el servidor o los servidores VPN que tengamos configurados, de esta forma, un usuario remoto podrá acceder a la red interna de la empresa si se conecta vía VPN al firewall de Zyxel. Una buena práctica de seguridad es solamente exponer a Internet el puerto de la VPN, para que solamente las conexiones entrantes vayan previamente autenticadas con usuario/contraseña o directamente con un certificado digital. En este tipo de dispositivos es muy importante no exponer nunca el puerto web de administración, porque podría ser vulnerable a ataques XSS o similares.

Cómo están atacando los equipos Zyxel

Los atacantes están intentando evitar la autenticación de los equipos y establecer túneles VPN SSL con cuentas de usuario desconocidas, por ejemplo, utilizan cuentas como «zyxel_silvpn», «zyxel_ts» o «zyxel_vpn_test» para manipular la configuración del dispositivo. Zyxel está investigando estos ataques para determinar si es por una vulnerabilidad ya conocida y no solucionada, o, sin embargo, es por una vulnerabilidad nueva que no se conocía hasta el momento. El fabricante desconoce por el momento cuántos clientes están afectados, porque parece que solamente los clientes con la web de administración accesible públicamente están afectados. De todas formas, tampoco saben a día de hoy si se puede comprometer con éxito los dispositivos de los clientes o simplemente intentan hacerlo.

Zyxel está desarrollando actualmente una actualización de firmwaware con todas las prácticas de seguridad de cara a mejorar la seguridad de la administración vía web, con el objetivo de reducir la superficie de ataque.

Recomendaciones de seguridad de Zyxel

El fabricante ha lanzado una serie de recomendaciones básicas para proteger lo mejor posible sus dispositivos, no obstante, estas recomendaciones también son válidas para cualquier equipo de similares características. Los consejos genéricos son configurar los dispositivos con los mínimos privilegios posibles, parchear los dispositivos con las últimas versiones de firmware, utilizar autenticación en dos factores siempre que sea posible, y también tener mucho cuidado con los ataques de phishing dentro de la red local profesional.

Por supuesto, es fundamental exponer el mínimo número de puertos posibles, por ejemplo, si no se necesita acceso remoto, entonces no deberíamos tener ningún puerto abierto y tener una política de denegar cualquier comunicación. En los últimos tiempos, con los ataques de ransomware a multitud de dispositivos, los firewalls y la posibilidad de acceder remotamente a los recursos locales vía VPN, los ciberdelincuentes ahora se están centrando específicamente en este tipo de dispositivos que normalmente se colocan en el perímetro de la red para proteger la red interna de tráfico no solicitado. Debemos recordar que en los últimos años ha habido múltiples vulnerabilidades en Fortigate SSL VPN, Pulse Secure SSL VPN y otros como SonicWall.