上周兆勤（Zyxel Networks）针对旗下USG Flex、ATP系列防火墙用户提出警告，指出他们在欧洲、中东、非洲地区（EMEA）的团队发现锁定该厂牌资安设备的攻击行动，黑客针对特定的漏洞而来，呼吁用户要采取相关行动因应。

根据他们的调查，攻击者借由漏洞窃得有效的帐密数据，并能为临时用户创建SSL VPN信道，而且，还会窜改防火墙的资安政策，并借此控制防火墙、存取网络环境。该公司提及，攻击者使用的临时用户名包含了SUPPOR87、SUPPOR817，以及VPN。

不过，对于黑客利用的漏洞，兆勤并未进一步说明细节。

针对受这波攻击影响的范围，该公司指出涵盖运行ZLD V4.32至5.38版固件的防火墙，而且激活远程管理或SSL VPN的功能。此外，这些遭到攻击的防火墙，管理员及用户的帐密数据，过往未曾进行更新。但他们强调，运行Nebula云端管理模式的防火墙不受影响。

根据他们的调查，一旦防火墙遭到入侵，IT人员会看到一些不寻常的状况，例如：出现特定帐号名称的SSL VPN连接，而且这些连接通常是从无法识别的IP位址登录，再者，防火墙的规则也可能会出现被窜改的情形。若是启动SecuReporter事件记录功能，管理者可以看到攻击者利用管理员帐号进行连接的记录。

若是确认防火墙遭到入侵，该公司指出IT人员应升级最新的5.39版固件，并更换所有的管理员及用户密码，移除并强制注销来路不明的帐号，以及删除完全开放WAN、SSL VPN区域连接的防火墙规则。此外，他们也呼吁用户套用最佳实务来提升防护强度。

针对此事我们也向兆勤询问，该公司表示攻击者很有可能利用已经公开的漏洞，对EMEA用户发动攻击，他们将持续进行监控，并呼吁用户尽速采用行动来降低风险。