Mehrere Zyxel-Firewalls haben eine Schwachstelle bei der Authentifizierung, die Angreifern ermöglicht, diese zu umgehen und die vollständige Kontrolle über die Geräte zu übernehmen. Der Hersteller stellt für betroffene Geräte Firmware-Updates bereit, die die Sicherheitslücke schließen sollen (CVE-2022-0342, CVSS 9.8, Risiko kritisch).

Zyxel erläutert die Schwachstelle nur oberflächlich. Aufgrund eines fehlenden Zugriffskontrollmechanismus im CGI-Programm einiger Firewall-Versionen sind diese für eine Umgehung der Authentifizierung anfällig. Dies könnte Angreifern erlauben, an administrative Rechte auf betroffenen Geräten zu gelangen. Common Gateway Interface (CGI)-Programme dienen dem Datenaustausch zwischen Server und Client und laufen auf dem Server, hier also der Firewall.

Betroffene Versionen

Der Hersteller hat Geräte untersucht, die noch Support erhalten. Davon sind USG/ZyWALL mit Firmware ZLD V4.20 bis einschließlich ZLD V4.70, USG FLEX mit ZLD V4.50 bis ZLD V5.20, ATP mit ZLD V4.32 bis ZLD V5.20, VPN mit ZLD V4.30 through ZLD V5.20 und NSG mit Firmware V1.20 bis V1.33 Patch 4 verwundbar.

Für die Geräte stellt das Unternehmen aktualisierte Firmwares bereit, die das Leck abdichten: Für USG/ZyWALL Firmware ZLD V4.71, für die USG Flex- und ATP-Modellreihe ZLD V5.21 Patch 1 und für VPN die Firmware ZLD V5.21.Für die NSG-Geräte können Administratoren beim Zyxel-Support den Hotfix V1.33p4_WK11 anfragen; der geplante V1.33 Patch 5 soll erst im Mai erscheinen.

Administratoren der genannten Zyxel-Geräte sollten die Aktualisierungen so rasch wie möglich einspielen, da die damit geschlossene Sicherheitslücke als kritisch eingestuft wurde. Zwar wurden etwa seitens Zyxel noch keine aktiven Angriffe auf die Schwachstelle gemeldet, dies dürfte jedoch in der derzeit sehr angespannten Cyber-Sicherheitslage nur eine Frage der Zeit sein – in der jüngeren Vergangenheit haben sich Cyberkriminelle bereits auf Zyxel-Sicherheitslücken gestürzt.

(dmk)