Die Security-Experten von Rapid7 warnen vor einer gefährlichen Schwachstelle in Geräten von Zyxel. Hacker versuchen seit einigen Tagen, diese Lücke auszunutzen, um die Kontrolle über solche Geräte zu übernehmen. Betroffen sind die Modellreihen ATP und VPN sowie die Modelle USG 100(W), 200, 500, 700 und Flex 50(W)/USG20(W)-VPN.

Zyxel hat bereits am 28. April Patches für diese Schwachstelle (CVE-2022-30525) veröffentlicht, anfänglich aber ohne den Grund für die Patches zu nennen. Dies hat anscheinend zu einer Verstimmung zwischen dem Netzwerkhersteller und Rapid7 geführt.

Das letztere Unternehmen hatte laut eigenen Angaben Zyxel am 13. April über die Lücke informiert, erhielt dann aber keinen Hinweis, als die Patches veröffentlicht wurden. Realisiert habe man dies erst am 9. Mai. Danach entschloss sich Rapid7 dazu, möglichst schnell Details zu dieser Schwachstelle zu veröffentlichen.

Der Grund dafür sei, dass Zyxel trotz seiner stillen Patch-Veröffentlichung potenzielle Angreifer auf die Lücke aufmerksam gemacht habe. Für Angreifer und Security-Forscher sei es einfach, die Patches zu analysieren und so Informationen über die Schwachstelle zu finden. Die Security-Verantwortlichen von Unternehmen und Organisationen würden dies hingegen nur selten tun.

Zyxel erklärte, dass die Sache aufgrund von Missverständnissen mit Rapid7 so abgelaufen sei. Man bemühe sich normalerweise immer, den Prinzipien der koordinierten Veröffentlichung von Schwachstellen zu folgen.