"Zyxel-firewalls op grote schaal gecompromitteerd door Mirai-botnet"
Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren.
Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was.
Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen.
Voor een thuisgebruiker met één lokatie is het inderdaad wel raar.
Maar stel, je bent een klein bedrijfje , met een kantoortje in Groningen, Maastricht, Vlissingen en Den Helder.
Je bent of hebt een halve beheerder - dan ga je opeens wel denken over 'remote' management , want je hebt echt geen lokale beheerders aan de interne kant van die al die kantoor firewalletjes .
Nog leuker, die dingen staan bij een stel home offices, en de "beheerder" is ook een home office .
Technisch zou je graag een packet filter hebben voor een paar trusted IP reeksen (want dat is meestal betrouwbaarder qua implementatie dan een webserver + een stel scripten, zoals hier blijkt) .
Maar als je niet een paar stabiele IP reeksen hebt van "het hoofdkantoor" wordt het al helemaal lastig om het goed te doen.
En dan opeens gaat een 'small business' situatie behoorlijk goed geschoolde beheerders vragen om het ook nog technisch 'veilig genoeg' te doen. Soms heeft zo'n business het geluk dat hun computer man (of letterlijk de boekhouder) toevallig gewoon een erg goede hobbyist is. Ook een hoop MKB support/leveranciers zijn lang niet altijd heel goed .
En - laten we eerlijk zijn - je zou normaal toch wel iets mogen verwachten dat een *firewall* z'n eigen broek kan ophouden qua security. Je koopt een *firewall*, je gebruikt TLS op de webinterface , en je gebruikt goede passwords en misschien ook 2FA .
Heb je het dan _zo_ verkeerd gedaan ?
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
Oh maar dat is vast wel zo! IPsec implementaties worden gemaakt door security specialisten, webservers en de truukjes
om "inloggen" en "uitvoeren van admin commands" mogelijk te maken worden meestal door de jongste bediendes
gemaakt, en door copy/paste "deskundigen" zoals webbouwers.
Voor een thuisgebruiker met één lokatie is het inderdaad wel raar.
Maar stel, je bent een klein bedrijfje , met een kantoortje in Groningen, Maastricht, Vlissingen en Den Helder.
Je bent of hebt een halve beheerder - dan ga je opeens wel denken over 'remote' management , want je hebt echt geen lokale beheerders aan de interne kant van die al die kantoor firewalletjes .
Nog leuker, die dingen staan bij een stel home offices, en de "beheerder" is ook een home office .
Technisch zou je graag een packet filter hebben voor een paar trusted IP reeksen (want dat is meestal betrouwbaarder qua implementatie dan een webserver + een stel scripten, zoals hier blijkt) .
Maar als je niet een paar stabiele IP reeksen hebt van "het hoofdkantoor" wordt het al helemaal lastig om het goed te doen.
En dan opeens gaat een 'small business' situatie behoorlijk goed geschoolde beheerders vragen om het ook nog technisch 'veilig genoeg' te doen. Soms heeft zo'n business het geluk dat hun computer man (of letterlijk de boekhouder) toevallig gewoon een erg goede hobbyist is. Ook een hoop MKB support/leveranciers zijn lang niet altijd heel goed .
En - laten we eerlijk zijn - je zou normaal toch wel iets mogen verwachten dat een *firewall* z'n eigen broek kan ophouden qua security. Je koopt een *firewall*, je gebruikt TLS op de webinterface , en je gebruikt goede passwords en misschien ook 2FA .
Heb je het dan _zo_ verkeerd gedaan ?
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
Die dingen hebben een firewall aan boord dus je kan zowel ike als webinterface toegankelijk maken voor een heel beperkt aantal adressen.
Misschien willen mensen roepen dat een IKEv2 daemon met dat enorm complexe IPSec protocol "natuurlijk" wel helemaal OK is om te exposen aan Internet, in tegenstelling tot een web interface .
Oh maar dat is vast wel zo! IPsec implementaties worden gemaakt door security specialisten, webservers en de truukjes
om "inloggen" en "uitvoeren van admin commands" mogelijk te maken worden meestal door de jongste bediendes
gemaakt, en door copy/paste "deskundigen" zoals webbouwers.
Exact!
Het track record is ook behoorlijk goed vergeleken met veel andere zaken.
Daarnaast heb je met road warriors vaak geen andere opties dan 4500 en 500 naar het web open te zetten.
Ik maak me daar dan ook niet echt druk over.
Security is sowieso altijd een compromis tussen veiligheid en functionaliteit.
Het veiligste is om de stekker er uit te halen en het meest functionele is om alles volledig open te hebben staan.
Daar houdt een ISP bij de selectie rekening mee. Zyxel is een redelijk betrouwbare firma. Dus weer lekker in de rondte slaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.