Nei giorni scorsi Zyxel ha confermato la presenza di problemi di sicurezza in alcuni suoi prodotti per il networking. Abbiamo dato conto delle vulnerabilità nei dispositivi VPN Firewall Zyxel osservando come i criminali informatici ne stiano già approfittando. Questa volta vediamo come proteggere VPN Firewall Zyxel dagli attacchi remoti.
Zyxel, azienda specializzata nella progettazione e nella produzione di soluzioni di rete per uso domestico e aziendale, si è affrettata a rilasciare gli aggiornamenti correttivi per le vulnerabilità venute a galla in questi giorni. In particolare, la falla contraddistinta con l’identificativo CVE-2023-28771, è quella che desta preoccupazione nell’immediato. Essa, infatti, può essere utilizzata per eseguire comandi arbitrari sui dispositivi Zyxel vulnerabili. L’attacco avviene da remoto, trasmettendo al prodotto Zyxel pacchetti dati opportunamente congegnati.
I gestori di botnet, reti di dispositivi connessi alla rete Internet compromessi e controllati da uno o più aggressori, stanno già utilizzando la lacuna CVE-2023-28771 per assumere il controllo dei device Zyxel vulnerabili.
Le altre due falle di recente scoperta, CVE-2023-33009 e CVE-2023-33010, generano errori di buffer overflow. Facendo leva su questi problemi, gli aggressori possono avviare attacchi DoS (Denial-of-Service) ed eseguire codice dannoso.
Zyxel spiega come proteggere VPN Firewall dagli attacchi remoti
Con la pubblicazione di un documento di supporto, il produttore è intervenuto per suggerire agli utenti il miglior modo per proteggere VPN Firewall Zyxel affetti dai problemi di sicurezza scoperti recentemente.
Innanzi tutto, Zyxel osserva che la mancata risposta del dispositivo e l’impossibilità di raggiungere la sua interfaccia Web o il pannello di gestione SSH, sono forti indizi di un attacco già avvenuto o in corso. Anche frequenti interruzioni nella disponibilità della rete o della connettività VPN dovrebbero essere trattate come inequivocabili segnali di allarme.
L’azienda richiama inoltre l’attenzione sui prodotti vulnerabili ovvero quelli appartenenti alle serie seguenti:
Affected series | Affected versions for CVE 2023 28771 |
Affected versions for CVE 2023 33009/CVE 2023 33010 |
Latest firmware |
---|---|---|---|
ATP | ZLD V4.60 to V5.35 | ZLD V4.32 to V5.36 Patch 1 | ZLD V5.36 Patch 2 |
USG FLEX | ZLD V4.60 to V5.35 | ZLD V4.50 to V5.36 Patch 1 | ZLD V5.36 Patch 2 |
USG FLEX50(W) / USG20(W)-VPN | N/A | ZLD V4.25 to V5.36 Patch 1 | ZLD V5.36 Patch 2 |
VPN | ZLD V4.60 to V5.35 | ZLD V4.30 to V5.36 Patch 1 | ZLD V5.36 Patch 2 |
ZyWALL/USG | ZLD V4.60 to V4.73 | ZLD V4.25 to V4.73 Patch 1 | ZLD V4.73 Patch 2 |
Per ciascuno di questi dispositivi, è già disponibile una patch correttiva. Zyxel esorta quindi utenti e amministratori di rete a scaricare e installare la versione del firmware indicata nell’ultima colonna della tabella (o una successiva).
Le linee guida generali per proteggere VPN Firewall Zyxel e altri dispositivi della stessa categoria
L’applicazione della versione più aggiornata del firmware permette di scongiurare ogni eventuale tentativo di aggressione. Zyxel consiglia tuttavia di applicare alcune linee guida per proteggere non soltanto i suoi dispositivi ma anche quelli di altri brand.
I suggerimenti proposti da Zyxel hanno valenza generale e dovrebbero essere utilizzati per mettersi al riparo anche da eventuali vulnerabilità ad oggi sconosciute.
È sempre bene disattivare l’accesso remoto al dispositivo sulla porta WAN. Come abbiamo ricordato più volte, infatti, è importante non far affacciare alcun servizio non indispensabile sull’IP pubblico. Zyxel consiglia di disabilitare HTTP/HTTPS sulla WAN: la stessa attenzione, tuttavia, si dovrebbe utilizzare per qualunque altro servizio.
Così come abbiamo visto in precedenza, quando emergono vulnerabilità specifiche, gli aggressori possono superare anche le procedure di autenticazione. A nulla vale che un dispositivo sia protetto con username e password “forti”, se è pubblicamente raggiungibile via Internet. Almeno in alcuni casi.
Le precauzioni, quindi, non sono mai troppe. Molto meglio impedire completamente l’accesso remoto all’interfaccia di un dispositivo e ai servizi che esso gestisce.
Nel caso in cui si avesse proprio bisogno di controllare i dispositivi Zyxel in modalità remota, allora è fortemente consigliato:
- Impostare una policy che permetta solamente la connessione da parte di indirizzi IP fidati;
- Attivare la geolocalizzazione IP impedendo le connessioni da indirizzi IP stranieri;
- Disattivare le porte UDP 500 e 4500 se non si avesse la necessità di usare la VPN IPSec.