合勤警告SSL VPN、防火墙装置遭骇客锁定

网络设备商合勤（Zyxel）本周发布警告，该公司的VPN、防火墙装置上遭不明人士远端存取。合勤目前正在制作修补程式，呼吁采取该公司建议的防范措施。

合勤发现一名“手法高明的”人士，锁定该公司USG/ZyWall、USG FLEX、ATP及VPN系列中执行ZLD固件，且开启远端管理或SSL VPN功能的装置。这些都是属于企业级的高阶、多功能系统。

这名攻击者企图从广域网络存取装置。一旦成功，他们可能绕过装置的验证机制，并新增未知用户账号藉以建立SSL VPN连线，像是zyxel_silvpn、zyxelts、zyxel_vpn_test。这就让攻击者可以操控装置组态。合勤表示他们发现问题后已立即采取必要措施，认为可有效阻止威胁。

所有合勤产品包括VPN、ZyWALL、USG、ATG、USG FLEX系列皆受影响，所有版本ZLD固件也都受影响。

目前合勤正在制作hotfix，在此之前，合勤提供暂时缓解的SOP呼吁用户立即采行，包括检查装置上是否有陌生的用户或管理员账号、未知的路由原则型路由（policy route）、安全防火墙规则、SSL VPN使用者或群组，一经发现应立即删除。

虽然合勤并未说明攻击者何以能存取其装置，不过根据其描述以及近日类似案件，可能是漏洞所致。包括Pulse VPN、SonicWall、Fortinet、Palo Alto Networks，皆是因为固件漏洞被发现，而成为骇客攻击目标，或遭到开采。