Zyxel Backdoor Hut in Firewalls einprogrammiert

Jeder, der ein Zyxel-Gerät der Serien USG, ATP, VPN, ZyWALL oder USG FLEX besitzt, sollte die Firmware-Version so bald wie möglich überprüfen. In ZLD V4.60 verfügt Zyxel über ein Anmeldekonto mit einem festen Benutzernamen zwyfp und ein festes Passwort, über das die Hardware-Software geändert werden kann. Um die Sache noch schlimmer zu machen, waren diese Eingabedaten sogar im Klartext in einer Binärdatei sichtbar.

Konto kann nicht in der Kontoverwaltung angezeigt werden, Passwort kann nicht geändert werden. Anmeldeinformationen ermöglichen den Zugriff sowohl über SSH als auch über die Internetschnittstelle. Dies wurde als entdeckt CVE-2020-29583 Das registrierte Scheunentor öffnet sich von Niels Teusink vom niederländischen Sicherheitsunternehmen IT EYE Ende November 2020. Laut Zyxel Networks wurde die Sicherheitslücke für automatische Firmware-Updates über FTP geschaffen. Geräte der VPN-Serie, die unter SD-OS ausgeführt werden, sind nicht betroffen.

Der AP NXC-Controller wurde ebenfalls berührt – erst im April gepatcht

Da permanent programmierte Zugriffsdaten eine wirklich schlechte Idee sind, hat Zyxel die Firmware-Version von ZLD V4.60 und ersetzt durch ZLD V4.60 Patch 1. Betroffen ist jedoch auch die Firmware-Version V6.10 der WLAN NXC2500- und NXC5500-Access Point-Controller. Da Zyxel erst im April ein Stück Land zur Verfügung stellen möchte, ist eine gute Beratung kostspielig. [UPDATE] Die Patches sollten nun am 8. Januar erscheinen.

Eine EYE-Stichprobe ergab, dass etwa zehn Prozent der Zyxel USG / ATP / VPNs mit niederländischen IP-Adressen beschädigte Firmware verwenden. Entworfen, können mehr als 10.000 Geräte weltweit betroffen sein – ein Hit für Botnetzbetreiber und andere Übeltäter.

[UPDATE 04.01.2021 09:40]

IM eine aktualisierte Sicherheitswarnung Zyxel empfiehlt, Sicherheitsupdates für die betroffene NXC-Serie jetzt früher (8. Januar) zu veröffentlichen.

(Ds)