近年来,随着数字化转型的加速推进,网络安全威胁不断升级,关键基础设施与企业网络安全面临日益严峻的挑战。作为网络安全防护的重要组成部分,防火墙承担着第一道防线的职责。然而,即使是知名厂商如Zyxel的设备,也难以避免存在安全漏洞的风险。特别是CVES-2023-28771这一高危漏洞曾在2023年引发多起针对丹麦关键基础设施的攻击事件,如今再次成为黑客重点攻击的对象,给全球范围内使用该产品的企业敲响了警钟。 CVE-2023-28771漏洞被定义为一种错误信息处理缺陷,允许攻击者通过远程命令执行(RCE)对防火墙设备进行侵入,进而可以掌控受影响网络的核心防御节点。该漏洞的严重性在于其CVSS评分高达9.8,意味着一旦被成功利用,攻击者可以轻易绕过防护机制,实现全面渗透。
早在2023年5月,该漏洞的攻击尝试就频繁出现,仅一个月后攻击活动激增,十一家丹麦能源企业因此遭受重大损失。攻击主要源自多个IP地址,并且多集中在UDP 500端口上的流量,显示出攻击行为具有高度的组织性和隐蔽性。值得关注的是,安全研究机构GreyNoise在2025年6月又发现关键性的攻击活动回潮,244个独立IP在极短时间内对CVE-2023-28771发起了集中式攻击,主要波及美国、英国、西班牙、德国和印度等国家。尽管攻击流量来自归属于美国Verizon商业基础设施的IP,但由于UDP协议易被伪造,真实攻击源头可能被隐藏。当前情报认为,此次活动关联于Mirai僵尸网络的变种。 Mirai攻击历史悠久,以通过物联网设备发动大规模分布式拒绝服务(DDoS)攻击著称,近几年其进化速度惊人,开始利用多种漏洞作为感染入口。
此次利用Zyxel防火墙漏洞的攻击手法不仅扩大了传播面,也暴露出企业对网络边界的防护还存在显著盲点。面对这一迫在眉睫的威胁,相关企业必须采取多管齐下的应对措施。首先,最关键的环节在于及时更新和部署官方补丁。Zyxel厂家已经在漏洞曝光后不久发布了修复补丁,企业必须确保防火墙固件的版本是最新的,彻底堵住远程命令执行的安全缺口。其次,加强网络访问控制,特别是对UDP 500端口的流量过滤至关重要。这个端口通常用于IPsec VPN连接,但过度暴露容易成为攻击入口。
通过合理配置防火墙规则和入侵检测系统,可以有效减少非法访问的风险。此外,实时监控网络流量和设备异常行为同样重要。利用安全信息和事件管理(SIEM)平台收集日志、分析流量,有助于早期发现异常访问企图并快速响应。 在政策层面,关键基础设施和行业监管部门应进一步推动供应链安全和设备安全标准的制定。通过合规检查和安全审计,促使企业全面排查风险。国际安全合作加强情报共享,有助于遏制跨国网络犯罪集团的扩散。
此次Zyxel防火墙漏洞再次成为黑客重点攻击的焦点,不仅提醒企业安全防护不能掉以轻心,也反映出现今网络攻击技术的复杂多变。企业应将安全纳入战略核心,深化漏洞管理机制,强化安全运维能力,提升整体防御水平。唯有如此,才能在激烈的网络攻防战中立于不败之地,保障数字资产安全和业务连续性。网络安全无小事,时刻紧盯漏洞风险,积极防御才是长久安全之道。
