Alert!

Zyxel: Lücken in Access-Points, Access-Point-Controllern und Firewalls

Der Netzwerkausrüster Zyxel warnt vor mehreren Sicherheitslücken in den Access-Points, Access-Point-Controllern sowie Firewalls. Updates sind verfügbar.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge
Aufmacher Zyxel Sicherheitsupdates

(Bild: Carlo Toffolo/Shutterstock.com)

Von
  • Dirk Knop

Zyxel warnt vor mehreren Sicherheitslücken, die zahlreiche Geräte aus den Access-Point-, Access-Point-Controller- und Firewall-Baureihen betreffen. Angreifer könnten dadurch eigenen Code ausführen, Zwei-Faktor-Authentifizierung auf einen Faktor runterbrechen, Cookies oder Session-Tokens ausspähen oder einen Pufferüberlauf auslösen, unter Umständen mit einem Absturz des Geräts.

Der Netzwerkausrüster nennt vier Einträge in die Common Vulnerabilities and Exposures-Datenbank (CVE), die teilweise mehrere Schwachstellen umfassen. So erlaubten zahlreiche Geräte angemeldeten Angreifern aufgrund einer Lücke, durch die im packet-trace-Befehl Argumente hätten eingeschleust werden können, beliebige Betriebssystem-Kommandos auszuführen (CVE-2022-26532, CVSS 7.8, Risiko "hoch").

Aufgrund einer Schwachstelle in einem CGI-Programm auf den Zyxel-Geräten könnten Angreifer zudem die zweite Authentifizierungsphase bei der Verbindung zum IPsec-VPN-Server trotz aktivierter Zwei-Faktor-Option überspringen und diese so faktisch auf eine Ein-Faktor-Anmeldung herabstufen (CVE-2022-0910, CVSS 6.5, mittel).

Weiterhin fanden sich mehrere fehlerhafte Eingabeprüfungen in einigen Kommandozeilen-Befehlen. Angemeldete Angreifer hätten damit Pufferüberläufe oder Systemabstürze mit manipulierten Daten provozieren können (CVE-2022-26531, CVSS 6.1, mittel). Zudem hätten Angreifer aufgrund einer Cross-Site-Scripting-Lücke im CGI-Programm der Netzwerkgeräte unbefugt an Informationen wie Cookies oder Session-Tokens gelangen können. Dazu hätten sie Opfern bösartige Skripte unterjubeln müssen, etwa, indem sie sie auf präparierte Webseiten locken (CVE-2022-0734, CVSS 5.8, mittel).

Betroffen sind diverse Geräte. In einer Sicherheitsmeldung listet Zyxel sie detailliert auf: Für die Firewalls aus den Serien USG/ZyWALL, USG FLEX, ATP, VPN und NSG steht aktualisierte Firmware zum Download über die üblichen Kanäle bereit. Administratoren von Access-Point-Controllern der NXC2500- und NXC5500-Serien können auf Anfrage beim Support einen Hoftix erhalten. Schließlich folgt eine lange Auflistung von betroffenen Access Points, für die Zyxel aktualisierte Software bereitstellt.

Administratoren sollten zügig ein Wartungsfenster einplanen, um die bereitgestellten Sicherheitsfixes herunterzuladen und zu installieren. Erst vorvergangene Woche mussten Zyxel-Admins Aktualisierungen implementieren, da Exploit-Code für Schwachstellen in älterer Firmware einiger Geräte aufgetaucht war.

(dmk)