Zyxel ha pubblicato un avviso di sicurezza contenente indicazioni su come proteggere i dispositivi firewall e VPN dagli attacchi in corso e rilevare segni di sfruttamento. Questo avviso arriva in risposta a molteplici segnalazioni di sfruttamento diffuso del CVE-2023-28771 e dell’exploitability e gravità del CVE-2023-33009 e CVE-2023-33010, tutti che influenzano i dispositivi VPN e firewall di Zyxel.
Segni di problemi e mitigazione
Zyxel afferma che forti indicatori di un dispositivo violato includono la non risposta e l’impossibilità di raggiungere l’interfaccia utente web del dispositivo o il pannello di gestione SSH. Interruzioni frequenti della rete e connettività VPN instabile dovrebbero essere trattate come segnali di allarme e indagate.
L’azione consigliata è applicare gli aggiornamenti di sicurezza disponibili, che sono ‘ZLD V5.36 Patch 2’ per ATP – ZLD, USG FLEX e VPN- ZLD, e ‘ZLD V4.73 Patch 2’ per ZyWALL. Tuttavia, se l’aggiornamento è impossibile ora, si consiglia agli amministratori di sistema di implementare determinate misure di mitigazione.
La prima misura di difesa efficace è disabilitare i servizi HTTP/HTTPS da WAN (Wide Area Network). Questo dovrebbe rendere i punti finali vulnerabili irraggiungibili da attaccanti remoti. Se gli amministratori devono gestire dispositivi su WAN, dovrebbero abilitare ‘Policy Control’ e aggiungere regole che consentono solo agli indirizzi IP di fiducia di accedere ai dispositivi.
Altre misure di sicurezza
L’abilitazione del filtraggio GeoIP è anche consigliata per limitare l’accesso agli utenti/sistemi in base a posizioni di fiducia. Infine, Zyxel consiglia di disabilitare la porta UDP 500 e la porta 4500 se IPSec VPN non è necessario, chiudendo un’altra via per gli attacchi.
È importante ricordare che gli attacchi contro i prodotti elencati sono attualmente in corso, e si prevede solo che aumenteranno in volume e gravità, quindi è imperativo prendere provvedimenti per proteggere i propri dispositivi il più presto possibile.