Zyxel-Schwachstelle wird angegriffen

16. Mai 2022, 09:51
  • security
  • lücke
  • zyxel
image
USG20-VPN ist eines der betroffenen Modelle.

Zwischen den Entdeckern der Schwachstelle und Zyxel gab es Kommunikationsprobleme.

Die Security-Experten von Rapid7 warnen vor einer gefährlichen Schwachstelle in Geräten von Zyxel. Hacker versuchen seit einigen Tagen, diese Lücke auszunutzen, um die Kontrolle über solche Geräte zu übernehmen. Betroffen sind die Modellreihen ATP und VPN sowie die Modelle USG 100(W), 200, 500, 700 und Flex 50(W)/USG20(W)-VPN.
Zyxel hat bereits am 28. April Patches für diese Schwachstelle (CVE-2022-30525) veröffentlicht, anfänglich aber ohne den Grund für die Patches zu nennen. Dies hat anscheinend zu einer Verstimmung zwischen dem Netzwerkhersteller und Rapid7 geführt.
Das letztere Unternehmen hatte laut eigenen Angaben Zyxel am 13. April über die Lücke informiert, erhielt dann aber keinen Hinweis, als die Patches veröffentlicht wurden. Realisiert habe man dies erst am 9. Mai. Danach entschloss sich Rapid7 dazu, möglichst schnell Details zu dieser Schwachstelle zu veröffentlichen.
Der Grund dafür sei, dass Zyxel trotz seiner stillen Patch-Veröffentlichung potenzielle Angreifer auf die Lücke aufmerksam gemacht habe. Für Angreifer und Security-Forscher sei es einfach, die Patches zu analysieren und so Informationen über die Schwachstelle zu finden. Die Security-Verantwortlichen von Unternehmen und Organisationen würden dies hingegen nur selten tun.
Zyxel erklärte, dass die Sache aufgrund von Missverständnissen mit Rapid7 so abgelaufen sei. Man bemühe sich normalerweise immer, den Prinzipien der koordinierten Veröffentlichung von Schwachstellen zu folgen.

Loading

Mehr zum Thema

image

Ransomware-Bande startet Bug-Bounty-Programm

Bis zu 1 Million Dollar Prämie winkt jenen, die für die Bande Lockbit Fehler und Schwachstellen in deren neuster Malware finden.

publiziert am 1.7.2022
image

Podcast: IT-Security – kleine Betriebe, grosse Probleme

Homeoffice und Cybersecurity: Zwei spannende Themen, die zusammen aber vor allem kleine Betriebe vor grosse Probleme stellen.

publiziert am 1.7.2022
image

Post lässt sich 24 Stunden lang von 150 Hackern angreifen

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

publiziert am 30.6.2022
image

VBS lanciert Cyber Startup Challenge 2022

Dieses Mal sollen Teilnehmer Lösungen zur automatisierten Netzwerkerkennung und Sicherung von Internet-of-Things-Geräten präsentieren.

publiziert am 30.6.2022