Zyxel-Firmware mit Backdoor muss gepatcht werden

5. Januar 2021 um 16:31
image

Forscher von EYE Netherlands haben in Firewalls und AP-Controllern von Zyxel fest kodierte Anmeldeinformationen entdeckt. Der Zyxel-Schweiz-Chef nimmt Stellung.

Einen Tag vor Weihnachten 2020 hat Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE ein als "CVE-2020-29583" registriertes offenes Scheunentor bei Zyxel-Geräten publiziert. Es handelt sich um Hintertüren zu Geräten der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX, bei denen rasch die Firmware aktualisiert werden soll, schreibt Teusink.
Teusink verweist auch auf eine Liste aller betroffenen Firewalls und AP-Controller.
Die konkrete Sicherheitslücke, mit der die Software der Geräte verändert werden kann, beschreibt der Forscher so: "Bei der Recherche (Rooting) auf meinem Zyxel USG40 war ich überrascht, in der neuesten Firmware-Version (4.60 Patch 0) ein Benutzerkonto 'zyfwp' mit einem Passwort-Hash zu finden. Das Klartext-Passwort war in einer der Binärdateien auf dem System sichtbar. Noch überraschter war ich, dass dieses Konto sowohl auf dem SSH- als auch auf dem Web-Interface zu funktionieren schien".
Weiter erklärt er, dass es sich um eine Backdoor handelt, die in der vorherigen Firmware-Version (4.39) noch nicht bestanden habe. Es scheine, dass Zyxel die Sicherheitslücke erst jetzt eingebaut habe. Dabei sei der Benutzer in der Kontenverwaltung nicht sichtbar und sein Passwort könne nicht geändert werden. In der Vorgängerversion sei zwar auch der Benutzer vorhanden gewesen, aber eben ohne Passwort. Teusink empfiehlt, auch wenn ältere Versionen diese Schwachstelle nicht haben, sie zu aktualisieren, weil sie bei anderen bestehen könne.

Viele Schweizer KMU setzen Zyxel ein

Dass Zyxel-Geräte auch unter hiesigen KMU weit verbreitet sind, ist bekannt. Deshalb haben wir Frank Studerus, den hiesigen Zyxel- und VAD-Chef nach dem Umgang mit dieser Schwachstelle gefragt. Er teilt dazu mit, dass "die Kommunikation dazu primär direkt zwischen Zyxel und unseren Kunden" laufe.
Konkret sei die Schwachstelle am 23. Dezember 2020 online bekannt gemacht worden und dazu eine Mail verschickt worden. Dabei sei der Patch1 schon am 16. Dezember 2020 angeboten worden, fügt Studerus an.
Dass Studerus auf seiner Webseite keinen Patch verfügbar gemacht habe, begründet er damit, dass das Update der Firmware direkt über das Web-GUI der Firewalls erfolgt: "Die Firmware ist als File nicht online verfügbar. Für den Kunden ist der Prozess so einfacher und sicherer."
Auf die Frage, ob Studerus den Vorfall direkt mit Zyxel diskutiert habe, weicht der Zyxel-Schweiz-Chef aus und schreibt nur: "Leider gibt es mit Software immer wieder Sicherheitsprobleme und im Nachhinein sagt man immer, dass das eigentlich nicht hätte passieren dürfen." Das sei auch hier der Fall. Doch, "glücklicherweise wurde die fehlerhafte Firmware von Zyxel innert wenigen Tagen zurückgezogen und mit einem Patch behoben", so Studerus.

Loading

Mehr zum Thema

image

IT-Branche steht trotz lauer Wirtschaft auf Wachstum

Die ICT-Branche rechnet auch im 4. Quartal mit Wachstum. Der ICT-Index von Swico verdeutlicht aber, dass die gesamtwirtschaftliche Lage schwächelt.

publiziert am 2.10.2024
image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Luzerner Regierungsrat verteidigt M365-Einführung

Die Umstellung der Verwaltung auf Microsoft 365 hat zu einer Anfrage im Parlament geführt. Die Regierung äussert sich zu Datenschutz, Cloud und Alternativen.

publiziert am 1.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024