Zyxel hat Backdoor in Firewalls einprogrammiert – Jetzt patchen!

Zyxel hat Backdoor in Firewalls einprogrammiert - Jetzt patchen!

Zyxel

Bei Zyxel-Geräten der Reihe USB, ATP, VPN, ZyWALL oder USG Flex sollte schnellstmöglich die Firmwareversion überprüft werden.

Zyxel hat nämlich in ZLD V4.60 ein Zugangskonto mit fix eingestelltem Username „zwyfp“ und fixen Passwort einprogrammiert. Darüber kann die Software der Geräte verändert werden und zudem waren diese Zugangsdaten sogar in Klartext in einer Binary-Datei einsehbar.

In der Kontenverwaltung ist dieses Konto allerdings nicht sichtbar, dementsprechend lässt sich das Passwort auch nicht verändern. Die Zugangsdaten erlauben den Zugriff über SSH als auch über das Web-Interface.

Die Sicherheitslücke wurde nach Angaben von Zyxel Networks für automatische Firmware-Updates via FTP geschaffen. Die unter SD-OS laufenden Geräte der VPN-Serie seien allerdings nicht betroffen.

Da fix einprogrammierte Zugangsdaten nicht gerade die schlauste Idee ist, hat Zyxel die Firmwareversion ZLD V4.60 zurückgezogen und durch den ZLD V4.60 Patch 1 ersetzt. Betroffen ist allerdings auch die Firmwareversion V6.10 der WLAN-Access-Point-Controller NXC2500 und NXC5500. Nach erster Info sollte der Patch erst im April bereitgestellt werden, allerdings ging es nun doch schneller und der Patch sollte seit dem 8.01.2021 verfügbar sein.

Hochgerechnet könnten weltweit mehr als 10.000 Geräte betroffen sein – also ein gefundenes Fressen für Übeltäter…

Patches stellt Zyxel allerdings nur für vier der neun Modelle zur Verfügung. Für vier weitere Modelle hat Zyxel den Support laut Nussko eingestellt, womit diese Geräte verwundbar bleiben. Für Hilfe zum neunten Modell sollen Betroffene den Support kontaktieren, sagt Zyxel.

Jetzt patchen! Angreifer scannen nach Zyxel-Backdoor

Wer Firewalls von Zyxel einsetzt, sollte diese zügig auf den aktuellen Stand bringen. Andernfalls könnten sich Angreifer direkt über das Internet via SSH auf Geräte einloggen und mit Admin-Rechten darauf zugreifen.

Dieses Szenario rückt nun in greifbare Nähe, da Angreifer derzeit aktiv nach SSH-Verbindungen scannen. 

Kommentar verfassen