Zyxel-Firmware mit Backdoor muss gepatcht werden

5. Januar 2021 um 16:31
image

Forscher von EYE Netherlands haben in Firewalls und AP-Controllern von Zyxel fest kodierte Anmeldeinformationen entdeckt. Der Zyxel-Schweiz-Chef nimmt Stellung.

Einen Tag vor Weihnachten 2020 hat Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE ein als "CVE-2020-29583" registriertes offenes Scheunentor bei Zyxel-Geräten publiziert. Es handelt sich um Hintertüren zu Geräten der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX, bei denen rasch die Firmware aktualisiert werden soll, schreibt Teusink.
Teusink verweist auch auf eine Liste aller betroffenen Firewalls und AP-Controller.
Die konkrete Sicherheitslücke, mit der die Software der Geräte verändert werden kann, beschreibt der Forscher so: "Bei der Recherche (Rooting) auf meinem Zyxel USG40 war ich überrascht, in der neuesten Firmware-Version (4.60 Patch 0) ein Benutzerkonto 'zyfwp' mit einem Passwort-Hash zu finden. Das Klartext-Passwort war in einer der Binärdateien auf dem System sichtbar. Noch überraschter war ich, dass dieses Konto sowohl auf dem SSH- als auch auf dem Web-Interface zu funktionieren schien".
Weiter erklärt er, dass es sich um eine Backdoor handelt, die in der vorherigen Firmware-Version (4.39) noch nicht bestanden habe. Es scheine, dass Zyxel die Sicherheitslücke erst jetzt eingebaut habe. Dabei sei der Benutzer in der Kontenverwaltung nicht sichtbar und sein Passwort könne nicht geändert werden. In der Vorgängerversion sei zwar auch der Benutzer vorhanden gewesen, aber eben ohne Passwort. Teusink empfiehlt, auch wenn ältere Versionen diese Schwachstelle nicht haben, sie zu aktualisieren, weil sie bei anderen bestehen könne.

Viele Schweizer KMU setzen Zyxel ein

Dass Zyxel-Geräte auch unter hiesigen KMU weit verbreitet sind, ist bekannt. Deshalb haben wir Frank Studerus, den hiesigen Zyxel- und VAD-Chef nach dem Umgang mit dieser Schwachstelle gefragt. Er teilt dazu mit, dass "die Kommunikation dazu primär direkt zwischen Zyxel und unseren Kunden" laufe.
Konkret sei die Schwachstelle am 23. Dezember 2020 online bekannt gemacht worden und dazu eine Mail verschickt worden. Dabei sei der Patch1 schon am 16. Dezember 2020 angeboten worden, fügt Studerus an.
Dass Studerus auf seiner Webseite keinen Patch verfügbar gemacht habe, begründet er damit, dass das Update der Firmware direkt über das Web-GUI der Firewalls erfolgt: "Die Firmware ist als File nicht online verfügbar. Für den Kunden ist der Prozess so einfacher und sicherer."
Auf die Frage, ob Studerus den Vorfall direkt mit Zyxel diskutiert habe, weicht der Zyxel-Schweiz-Chef aus und schreibt nur: "Leider gibt es mit Software immer wieder Sicherheitsprobleme und im Nachhinein sagt man immer, dass das eigentlich nicht hätte passieren dürfen." Das sei auch hier der Fall. Doch, "glücklicherweise wurde die fehlerhafte Firmware von Zyxel innert wenigen Tagen zurückgezogen und mit einem Patch behoben", so Studerus.

Loading

Mehr zum Thema

image

Schweizer Firma Zeit AG wird nach Kanada verkauft

Die Volaris Group kauft ein weiteres Schweizer Software­unternehmen. Durch die Übernahme soll sich beim Anbieter von Lösungen für Zeiterfassung nichts ändern.

publiziert am 27.2.2024
image

Verkauf von Carbon Black offenbar abgeblasen

Berichten zufolge soll Broadcom den Verkauf des Security-Unternehmens auf Eis legen. Die Angebote liegen demnach unter den Erwartungen.

publiziert am 27.2.2024
image

Kritik an Schweizer Startup wegen angeblicher Gesichtserkennung

Invenda aus Obwalden entwickelt smarte Snackautomaten und verkauft diese weltweit. In Kanada wurden Vorwürfe laut, das Startup verletze die Privatsphäre von Kunden.

publiziert am 27.2.2024 2
image

Lockbit ist zurück

Keine Woche war die Ransomware-Bande offline. Jetzt will sie sich an den an der Aktion beteiligten Regierungen rächen und hat neue Opfer bekannt gegeben.

publiziert am 26.2.2024