Zyxel Hat Backdoor an der einprogrammierten Firewall

Jeder mit Zyxel, ATP, VPN, ZyWALL oder USG FLEX der USG-Serie sollte die Firmware-Version so bald wie möglich überprüfen. In ZLD V4.60 verfügt Zyxel über ein festes Benutzername-Zugriffskonto zwyfp Und ein festes Passwort, mit dem die Hardware-Software geändert werden kann. Um die Sache noch schlimmer zu machen, waren diese Zugriffsdaten im Klartext in einer Binärdatei sichtbar.

Das Konto wird in der Kontoverwaltung nicht angezeigt und das Kennwort kann nicht geändert werden. Anmeldeinformationen ermöglichen den Zugriff über SSH und Webschnittstelle. Dies wurde als entdeckt CVE-2020-29583 Das registrierte Scheunentor ist ab geöffnet Niels Teusink vom niederländischen IT-Sicherheitsunternehmen EYE Ende November 2020. Laut Zyxel Networks wurde eine Sicherheitslücke für automatische Firmware-Updates über FTP geschaffen. Geräte der VPN-Serie von SD-OS sind nicht betroffen.

Der AP NXC-Controller ist ebenfalls betroffen – die Korrektur erfolgt erst im April

Da permanent programmierte Zugriffsdaten eine wirklich schlechte Idee sind, hat Zyxel die ZLD-Firmware-Version V4.60 und Ersetzt durch ZLD V4.60 Patch 1. Betroffen ist jedoch auch die Firmware-Version V6.10 für WLAN NXC2500- und NXC5500 AP-Controller. Da Zyxel die Korrektur erst im April vornehmen möchte, ist eine gute Beratung teuer.

Die EYE-Stichprobe zeigte, dass etwa zehn Prozent der Zyxel USG / ATP / VPNs mit niederländischen IP-Adressen infizierte Firmware verwenden. Extrapoliert könnten weltweit mehr als 10.000 Geräte betroffen sein – gutes Essen für Bot-Betreiber und andere Kriminelle.

(s)