Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Zyxel testen

Vi har VG testen, Calendly testen og Verisure testen. Alle disse er unike tester for forskjellige situasjoner. Alle er tester for å verifisere om man har sikkerheten på plass.

Zyxel testen er den siste, i lys av hendelsen i Danmark i mai 2023 der nettopp Zyxel brannmurer med en sårbarhet ble misbrukt. Kunne det samme skjedd hos dere?

Når jeg starter jobben hos nye kunder ser jeg alltid forsøk på misbruk av kjente sårbarheter, og i disse dager veldig mye mot Zyxel sårbarheter.

Denne testen er uavhengig av om dere har Zyxel eller noe annet. Poenget er at om dere ser multiple forsøk på misbruk av den kjente Zyxel sårbarheten, så er alarmen at dere ikke skulle sett det i det hele tatt.

Om dere ser forsøk på misbruk av Zyxel sårbarhet over port 500 i loggene, er sikkerheten deres for dårlig.

Dette er forsøk på misbruk av en Zyxel sårbarhet:

Dette er et forsøk på misbruk av en Asus sårbarhet:

Dette er et forsøk på misbruk av en Netis sårbarhet:

Sårbarhetene kommer på løpende bånd

Zyxel sårbarheten er knyttet til IKE på port 500. Dette er en naturlig komponent man vil ønske å begrense tilgang til slik at misbruk umuliggjøres. Et godt regelsett vil begrense hvem som får lov til å etablere en IPsec VPN forbindelse, og dermed vingeklippes muligheten til å misbruke sårbarheten, uavhengig av produsent. Det handler om mennesker, deres kompetanse, bevissthet og ydmykhet.

Det fungerer

Erfaringer hos flere kunder der Least Privilege er adressert viser at forsøk på misbruk av disse sårbarhetene blir vingeklippet. Dette ser kunden umiddelbart og er dermed meget tilfreds. Ser man på bildet av Zyxel sårbarheten er datoen 11. desember, mens denne artikkelen ble skrevet 16. desember.

11. desember innførte vi Least Privilege regelsett. Forsøkene på misbruk har ikke stoppet, men de treffer nå default deny regelen, får ikke opprettet en forbindelse, og kan da heller ikke misbruke sårbarheten. Derfor uteblir threat loggene etter denne datoen for disse forsøkene.

Hvordan gjøre Zyxel testen?

Sjekk threat loggene? Se om det er elementer der som ikke burde være der. Se om det er kommunikasjon som ikke samsvarer med forretningsmessige behov.

Om det vises alarmer knyttet til trafikk som ikke burde vært tillatt må man aktivere tiltak for å redusere tilgang i tråd med Least Privilege.

Posted by:

Gøran Tømte

One response to “Zyxel testen”

  1. Gøran Tømte Avatar
    Gøran Tømte

    Jeg vil gi bort adressering av Zyxel testen til en kunde før jul: https://www.linkedin.com/posts/goran-tomte_gratis-cyber-f%C3%B8rstehjelp-f%C3%B8r-jul-activity-7142224801154211840-RDb5

    Reply

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading