In älteren Firewalls des Netzwerkausrüsters Zyxel wurden Sicherheitslücken entdeckt, die der Hersteller aufgrund des Support-Endes der Geräte nicht beheben will. Abhilfe schaffe der Ersatz durch neuere Geräte, also dem Kauf von Hardware neuerer Generation.

In einer Sicherheitsmeldung warnt Zyxel davor, dass die verwundbaren Geräte eine sogenannte CRLF-Injection-Schwachstelle aufweisen. Dadurch können Angreifer etwa in HTTP-Anfragen ein Zeilenumbruch-Zeichen einschleusen, was im konkreten Fall bösartige Akteure unter anderem für Cross-Site-Scripting (XSS) oder Web-Cache-Poisoning missbrauchen könnten.

Nutzer hinter alter Zyxel-Firewall gefährdet

Durch beide Angriffsformen könnten Angreifer Nutzern im Netzwerk hinter der Firewall etwa schädliches HTML oder bösartige Skripte unterschieben. Der Fehler basiert darauf, dass die CGI-Programme, die unter anderem die übergebenen Parameter in HTTP-Anfragen auswerten, in den alten Zyxel-Firewalls Benutzereingaben nicht ausreichend filtern. Genauere Details nennt der Hersteller nicht.

Betroffen sind laut Zyxel die Firewalls USG100, USG200, USG300, USG20W, USG20 und USG50. Diese haben dem Hersteller zufolge den End-of-Vulnerability-Support erreicht. Die Geräte haben teils mehr als 15 Jahre auf dem Buckel. Da sie jedoch insbesondere für den Einsatz in Unternehmen mit Filialnetzen beworben werden, könnte derart veraltete Hardware dort noch unerkannt ihr Werk verrichten und so Sicherheitslücken im Netz aufreißen.

IT-Verantwortliche sollten überprüfen, ob in ihren Netzwerken noch derart alte Hardware schlummert. Diese sollten sie durch Geräte ersetzen, die vom Hersteller noch unterstützt werden und Sicherheits-Updates erhalten.

(dmk)