Einen Tag vor Weihnachten 2020 hat Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE ein als "
CVE-2020-29583" registriertes offenes Scheunentor bei Zyxel-Geräten publiziert. Es handelt sich um Hintertüren zu Geräten der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX, bei denen rasch die Firmware aktualisiert werden soll,
schreibt Teusink.
Teusink verweist auch auf
eine Liste aller betroffenen Firewalls und AP-Controller.
Die konkrete Sicherheitslücke, mit der die Software der Geräte verändert werden kann, beschreibt der Forscher so: "Bei der Recherche (Rooting) auf meinem Zyxel USG40 war ich überrascht, in der neuesten Firmware-Version (4.60 Patch 0) ein Benutzerkonto 'zyfwp' mit einem Passwort-Hash zu finden. Das Klartext-Passwort war in einer der Binärdateien auf dem System sichtbar. Noch überraschter war ich, dass dieses Konto sowohl auf dem SSH- als auch auf dem Web-Interface zu funktionieren schien".
Weiter erklärt er, dass es sich um eine Backdoor handelt, die in der vorherigen Firmware-Version (4.39) noch nicht bestanden habe. Es scheine, dass Zyxel die Sicherheitslücke erst jetzt eingebaut habe. Dabei sei der Benutzer in der Kontenverwaltung nicht sichtbar und sein Passwort könne nicht geändert werden. In der Vorgängerversion sei zwar auch der Benutzer vorhanden gewesen, aber eben ohne Passwort. Teusink empfiehlt, auch wenn ältere Versionen diese Schwachstelle nicht haben, sie zu aktualisieren, weil sie bei anderen bestehen könne.
Viele Schweizer KMU setzen Zyxel ein
Dass Zyxel-Geräte auch unter hiesigen KMU weit verbreitet sind, ist bekannt. Deshalb haben wir Frank Studerus, den hiesigen Zyxel- und VAD-Chef nach dem Umgang mit dieser Schwachstelle gefragt. Er teilt dazu mit, dass "die Kommunikation dazu primär direkt zwischen Zyxel und unseren Kunden" laufe.
Konkret sei die Schwachstelle am 23. Dezember 2020 online bekannt gemacht worden und dazu
eine Mail verschickt worden. Dabei sei der Patch1 schon am 16. Dezember 2020 angeboten worden, fügt Studerus an.
Dass Studerus auf seiner Webseite keinen Patch verfügbar gemacht habe, begründet er damit, dass das Update der Firmware direkt über das Web-GUI der Firewalls erfolgt: "Die Firmware ist als File nicht online verfügbar. Für den Kunden ist der Prozess so einfacher und sicherer."
Auf die Frage, ob Studerus den Vorfall direkt mit Zyxel diskutiert habe, weicht der Zyxel-Schweiz-Chef aus und schreibt nur: "Leider gibt es mit Software immer wieder Sicherheitsprobleme und im Nachhinein sagt man immer, dass das eigentlich nicht hätte passieren dürfen." Das sei auch hier der Fall. Doch, "glücklicherweise wurde die fehlerhafte Firmware von Zyxel innert wenigen Tagen zurückgezogen und mit einem Patch behoben", so Studerus.