Muhtasari Fireware za Zyxel zimechunguzwa kufuatia wimbi la mashambulio yanayotumia uwezekano wa kusambaza programu ya Helldown ransomware. Uathirifu muhimu wa uvukaji wa saraka, unaofuatiliwa kama CVE-2024-11667, katika programu dhibiti ya Zyxel ZLD (matoleo 5.00–5.38) umehusishwa na ukiukaji huu. Wavamizi hutumia dosari hii kuiba vitambulisho na kutekeleza shughuli hasidi, ikiwa ni pamoja na kuunda miunganisho ya VPN ambayo haijaidhinishwa na kurekebisha sera za usalama. CERT Ujerumani (CERT-Bund) na Zyxel zimetoa ushauri wa dharura unaoelezea vitisho hivi na kupendekeza hatua za haraka ili kupunguza hatari. Kuelewa Hatari: CVE-2024-11667 CVE-2024-11667 ni saraka ya hatari ya upitishaji katika programu dhibiti ya ngome ya Zyxel. Huruhusu wavamizi kupakia au kupakua faili kupitia URL zilizoundwa mahususi, na hivyo kusababisha wizi wa kitambulisho na ufikiaji ambao haujaidhinishwa. Athari hii ya athari: ngome za mfululizo za ATP na USG FLEX katika hali ya juu ya majengo. Vifaa vinavyotumia matoleo ya programu dhibiti ya ZLD kutoka 4.32 hadi 5.38 na usimamizi wa mbali au SSL VPN imewashwa. Vifaa vinavyotumia hali ya usimamizi wa wingu ya Nebula haviathiriwi. Kivinjari chako hakitumii lebo ya video. Mageuzi ya Helldown Ransomware Hapo awali yaligunduliwa mnamo Agosti 2024, Helldown imeongezeka katika hali ya kisasa zaidi, na kuinua uwezekano wa CVE-2024-11667 katika mfululizo wa Zyxel USG Flex na ATP. Athari hii, ingawa haijatambuliwa, inaonekana kuruhusu ufikiaji usioidhinishwa hata kwenye mifumo iliyobanwa ikiwa kitambulisho cha akaunti kitasalia bila kubadilika. Helldown, inayotokana na mjenzi wa programu ya ukombozi wa LockBit, inalenga mashirika yenye mbinu za hali ya juu, ikiwa ni pamoja na harakati za baadaye ndani ya mitandao. Tovuti yake ya uvujaji imetaja waathiriwa 32 duniani kote, huku mashirika matano ya Ujerumani yakishukiwa kuwa shabaha, CERT-Bund (BSI) ilisema. Uchunguzi Muhimu wa Mashambulizi Vidudu vya Mashambulizi: Utumiaji wa udhaifu wa ngome kwa ufikiaji wa awali. Mbinu za Baada ya Unyonyaji: Uundaji wa akaunti ambazo hazijaidhinishwa (km, “SUPPORT87”), harakati za upande, na milango ya nyuma inayoendelea. Athari: Uchujaji wa data, usimbaji fiche wa mali muhimu, na kukatizwa kwa uendeshaji. Kutambua Ishara za Maelewano Viashirio vya ngome ya ulinzi ya Zyxel iliyoathiriwa ni pamoja na: Miunganisho ya SSL VPN Isiyoidhinishwa: Akaunti za VPN kama vile “SUPPORT87,” “SUPOR817,” au “VPN” huonekana kwenye kumbukumbu za muunganisho. Majaribio ya kuingia kutoka kwa anwani za IP zisizotambulika, mara nyingi hupitishwa kupitia huduma za VPN. Sera za Usalama Zilizobadilishwa: Sera zinazotoa ufikiaji usio na kikomo (kwa mfano, “YOYOTE hadi YOYOTE”) kati ya maeneo ya WAN, LAN, na SSL VPN. Mabadiliko ya sheria za NAT zinazoruhusu ufikiaji wa WAN-to-LAN. Shughuli ya Msimamizi Anayetiliwa shaka: Uundaji wa akaunti za msimamizi ambazo hazijaidhinishwa. Majaribio ya kuingia kutoka kwa IP zisizotambulika. Kumbukumbu za shughuli katika SecuReporter zinazoonyesha vitendo vya usimamizi visivyo vya kawaida. Ulengaji wa Seva ya AD: Wavamizi hutumia vitambulisho vya msimamizi vilivyoibiwa kufikia seva za Active Directory (AD) kupitia miunganisho ya SSL VPN, ambayo inaweza kusimba faili kwa njia fiche. Hatua za Kugundua na Kurekebisha Ugunduzi wa Ngome Iliyoathiriwa Angalia miunganisho ya VPN isiyojulikana au akaunti za watumiaji kwenye kumbukumbu. Kagua kumbukumbu za shughuli za SecuReporter kwa vitendo vya msimamizi ambavyo havijaidhinishwa. Kagua sheria za ngome ili kupata ruhusa zisizo za kawaida za ufikiaji. Firmware ya Uboreshaji wa Urekebishaji: Sasisha hadi ZLD 5.39 au toleo jipya zaidi ili kubandika CVE-2024-11667 na utekeleze uboreshaji wa usalama. Badilisha Kitambulisho: Sasisha nenosiri la akaunti zote za msimamizi na mtumiaji (Saraka ya karibu na Inayotumika). Badilisha funguo za VPN zilizoshirikiwa awali na vitambulisho vya seva ya uthibitishaji wa nje. Ondoa Akaunti Zisizoidhinishwa: Futa akaunti za msimamizi na mtumiaji ambazo hazijatambuliwa. Lazimisha kuondoka kwa vipindi vyote visivyoaminika. Kagua Sera za Usalama: Ondoa sheria zinazoruhusu ufikiaji usio na kikomo. Hakikisha sera zinazuia trafiki ya WAN, LAN, na SSL VPN inapohitajika. Fuatilia Kumbukumbu:Kuendelea kuchambua kumbukumbu kwa shughuli za kutiliwa shaka na majaribio ya ufikiaji ambayo hayajaidhinishwa. Mbinu Bora za Kulinda Firewalls za Zyxel Ili kuzuia maelewano yajayo, Zyxel inapendekeza hatua zifuatazo: Zuia Ufikiaji: Zima udhibiti wa mbali ikiwa hauhitajiki. Tekeleza vizuizi vya IP kwa kupata kiolesura cha usimamizi. Badilisha Lango Chaguomsingi: Rekebisha HTTPS chaguomsingi na milango ya SSL VPN ili kupunguza kukaribia aliyeambukizwa. Washa Uthibitishaji wa Mambo Mbili (2FA): Inahitaji 2FA kwa ajili ya kuingia kwa msimamizi na mtumiaji ili kuimarisha udhibiti wa ufikiaji. Sheria za Vizuizi vya Geo: Tumia uchujaji wa Geo-IP ili kuzuia trafiki kutoka kwa maeneo yasiyoaminika. Simba Faili za Usanidi: Ongeza vitufe vya usimbaji vya faragha ili kulinda faili za usanidi. Hifadhi Nakala za Kawaida na Ufuatiliaji: Dumisha nakala zilizosasishwa za usanidi wa ngome. Fuatilia kila mara udhaifu ukitumia mipasho ya kijasusi ya vitisho. Hitimisho Utumiaji wa udhaifu wa ngome za Zyxel unasisitiza umuhimu wa hatua madhubuti za usalama wa mtandao. Mashirika yanayotumia vifaa vilivyoathiriwa lazima yape kipaumbele masasisho ya programu, kuimarisha vidhibiti vya ufikiaji na kufuatilia kikamilifu shughuli za kutiliwa shaka. Kampeni ya Helldown ransomware inaangazia hatari za kuacha mifumo ikikabiliwa na udhaifu unaojulikana. Kwa kutumia mbinu ya usalama iliyopangwa, ikiwa ni pamoja na 2FA, uchujaji wa IP, na ufuatiliaji thabiti, mashirika yanaweza kulinda mitandao yao dhidi ya vitisho sawa. Marejeleo: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032.pdf?__blob=publicationFile&v=3 https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-protecting-against-recent-firewall-threats-11-27-2024 https://support.zyxel.eu/hc/en-us/articles/21878875707410-Zyxel-USG-FLEX-and-ATP-series-Upgrading-your-device-and-ALL-credentials-kuepuka-hackers- mashambulizi#h_01J9RQPFVV0YYZY0CG3PJT7MAD https://community.zyxel.com/en/discussion/26764/ransomware-helldown Related