Alert!

Jetzt patchen! Zero-Day-Exploit für Firewalls und NAS von Zyxel in Umlauf

Angreifer könnten einige Netzwerkspeicher und Firewalls von Zyxel direkt über das Internet mit vergleichsweise wenig Aufwand komplett übernehmen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 19 Beiträge

(Bild: Artur Szczybylo/Shutterstock.com)

Update Stand:
Von

Verschiedene NAS-Modelle von Zyxel sind über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2020-9054) angreifbar. Exploit-Code ist offensichtlich bereits länger unterwegs. Ob es bereits Attacken gegeben hat, ist bislang unbekannt. Nun ist ein Hotfix erschienen. Sicherheitspatches sollen folgen.

Da sich aber ein Großteil der Modelle nicht mehr im Support befindet, bleiben diese verwundbar. Um Attacken in solchen Fällen vorzubeugen, rät Zyxel Besitzern in einer Warnmeldung dazu, die Geräte nicht direkt ans Internet zu hängen und zusätzlich mit einer Firewall zu schützen.

Für die noch im Support befindlichen Modelle NAS326, NAS520, NAS540 und NAS542 ist nun ein Hotfix erschienen. Die abgesicherte Firmware V5.21 soll im März folgen. Alle vorigen Versionen sind Zyxel zufolge angreifbar.

Für eine erfolgreiche Attacke müssten Angreifer lediglich zwei bestimmte Zeichen in das Feld für den Nutzernamen eingeben. Dafür soll das Versenden von präparierten HTTP-POST- oder GET-Anfragen ausreichen. Aufgrund einer fehlerhaften Überprüfung könnte so Schadcode zum Webserver durchdringen. Am Ende ist davon auszugehen, dass Angreifer Schadcode mit Root-Rechten ausführen können.

Der IT-Security-Journalist Brian Krebs hat das Sicherheitsproblem an Zyxel gemeldet. Der Hersteller hat innerhalb von knapp 24 Stunden reagiert. Aber erst nachdem Krebs das CERT der Carnegie Mellon University kontaktiert hat. Aus einem Beitrag des CERT geht hervor, dass die Schwachstelle mit dem höchstmöglichen CVSS Score 10/10 eingestuft ist.

Der Exploit-Code soll von einem auf Zero-Days spezialisierten Händler aus einem Untergrundforum stammen. Er habe den Code für 20.000 US-Dollar angeboten, berichtet Krebs in einer Meldung. Ihm zufolge macht der Händler auch Tauschgeschäfte gegen andere Zero-Day-Exploits.

[UPDATE, 27.02.2020 09:15]

Es sind noch weitere Geräte betroffen:

  • Firewalls und Gateways: ATP100, ATP200, ATP500, ATP800 USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, VPN50, VPN100, VPN300, VPN1000, ZyWALL110, ZyWALL310, and ZyWALL1100

(des)