Zyxel-Firmware mit Backdoor muss gepatcht werden

5. Januar 2021, 16:31
image

Forscher von EYE Netherlands haben in Firewalls und AP-Controllern von Zyxel fest kodierte Anmeldeinformationen entdeckt. Der Zyxel-Schweiz-Chef nimmt Stellung.

Einen Tag vor Weihnachten 2020 hat Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE ein als "CVE-2020-29583" registriertes offenes Scheunentor bei Zyxel-Geräten publiziert. Es handelt sich um Hintertüren zu Geräten der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX, bei denen rasch die Firmware aktualisiert werden soll, schreibt Teusink.
Teusink verweist auch auf eine Liste aller betroffenen Firewalls und AP-Controller.
Die konkrete Sicherheitslücke, mit der die Software der Geräte verändert werden kann, beschreibt der Forscher so: "Bei der Recherche (Rooting) auf meinem Zyxel USG40 war ich überrascht, in der neuesten Firmware-Version (4.60 Patch 0) ein Benutzerkonto 'zyfwp' mit einem Passwort-Hash zu finden. Das Klartext-Passwort war in einer der Binärdateien auf dem System sichtbar. Noch überraschter war ich, dass dieses Konto sowohl auf dem SSH- als auch auf dem Web-Interface zu funktionieren schien".
Weiter erklärt er, dass es sich um eine Backdoor handelt, die in der vorherigen Firmware-Version (4.39) noch nicht bestanden habe. Es scheine, dass Zyxel die Sicherheitslücke erst jetzt eingebaut habe. Dabei sei der Benutzer in der Kontenverwaltung nicht sichtbar und sein Passwort könne nicht geändert werden. In der Vorgängerversion sei zwar auch der Benutzer vorhanden gewesen, aber eben ohne Passwort. Teusink empfiehlt, auch wenn ältere Versionen diese Schwachstelle nicht haben, sie zu aktualisieren, weil sie bei anderen bestehen könne.

Viele Schweizer KMU setzen Zyxel ein

Dass Zyxel-Geräte auch unter hiesigen KMU weit verbreitet sind, ist bekannt. Deshalb haben wir Frank Studerus, den hiesigen Zyxel- und VAD-Chef nach dem Umgang mit dieser Schwachstelle gefragt. Er teilt dazu mit, dass "die Kommunikation dazu primär direkt zwischen Zyxel und unseren Kunden" laufe.
Konkret sei die Schwachstelle am 23. Dezember 2020 online bekannt gemacht worden und dazu eine Mail verschickt worden. Dabei sei der Patch1 schon am 16. Dezember 2020 angeboten worden, fügt Studerus an.
Dass Studerus auf seiner Webseite keinen Patch verfügbar gemacht habe, begründet er damit, dass das Update der Firmware direkt über das Web-GUI der Firewalls erfolgt: "Die Firmware ist als File nicht online verfügbar. Für den Kunden ist der Prozess so einfacher und sicherer."
Auf die Frage, ob Studerus den Vorfall direkt mit Zyxel diskutiert habe, weicht der Zyxel-Schweiz-Chef aus und schreibt nur: "Leider gibt es mit Software immer wieder Sicherheitsprobleme und im Nachhinein sagt man immer, dass das eigentlich nicht hätte passieren dürfen." Das sei auch hier der Fall. Doch, "glücklicherweise wurde die fehlerhafte Firmware von Zyxel innert wenigen Tagen zurückgezogen und mit einem Patch behoben", so Studerus.

Loading

Mehr zum Thema

image

Infinigate will Teile von Nuvias übernehmen

Die Geschäftsbereiche Cyber Security und Secure Networking der Nuvias Gruppe sollen zu Infinigate wechseln.

publiziert am 5.7.2022
image

Zwischen Black-Hat- und White-Hat-Hacking gibt es kaum Unterschiede

Kevin Mitnick sass wegen Hacking 5 Jahre im Gefängnis und wechselte anschliessend die Seiten. Im Interview spricht er über seinen Wechsel zum Pentester und gibt Tipps.

publiziert am 5.7.2022
image

Infoniqa SQL wird an Investoren verkauft

Mit neuem Kapital will der IT-Dienstleister auch das anorganische Wachstum vorantreiben. Gleichzeitig tritt der frühere CEO und aktuelle VRP Urs Tschudin kürzer.

publiziert am 5.7.2022
image

Mehrere Hacker wollen Lösegeld von Fachhochschule in Neuchâtel

Die Generaldirektorin der Haute Ecole Arc hält die Forderungen für wenig seriös. Die Ursache und das Ausmass des gestrigen Angriffs sind weiterhin unklar.

publiziert am 5.7.2022