Jetzt patchen! Cybergangster bauen Botnetz aus Zyxel-Firewalls

Der VPN-Service von Zyxel-Firewalls dient Angreifern zurzeit als Schlupfloch für Attacken. Kompromittierte Geräte gliedern sie Sicherheitsforschern zufolge in ein Mirai-ähnliches Botnetz ein. Admins sollten zügig handeln und die abgesicherten Versionen installieren.

Gefährliche Attacken

In einem Beitrag warnt die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) vor den Attacken. Sicherheitsforscher von Rapid7 weisen ebenfalls auf Angriffen auf eine "kritische" Sicherheitslücke (CVE-2023-28771) hin. Sie sprechen von weitreichenden Attacken, ohne konkrete Zahlen zu nennen.

Ihnen zufolge sind Firewalls in den Werkseinstellungen verwundbar. Dafür muss der VPN-Service nicht konfiguriert sein. Für Attacken müssen Angreifer präparierte IKEv2-Pakete an das WAN-Interface am UDP-Port 500 schicken. Dafür soll keine Authentifizierung nötig sein. Klappt das, ist die Ausführung von Schadcode möglich.

So etwas führt in der Regel zu einer vollständigen Kompromittierung von Geräten. In diesem Fall landen sie in einem Botnetz, mit dem die Angreifer DoS-Attacken realisieren. In einer Analyse führen die Sicherheitsforscher aus, wie so eine Attacke im Detail abläuft.

Jetzt patchen!

Die Forscher geben an, 42.000 öffentlich erreichbare Instanzen entdeckt zu haben. In diesen Fällen könnten Attacken direkt über das Internet gelingen. Admins sollten sicherstellen, dass sie die gegen diese Attacken abgesicherten Firmwares ZLD V5.36 oder ZLD V4.73 Patch 1 installiert haben. Diese Geräte sind konkret bedroht:

• ATP ZLD V4.60 bis V5.35
• USG FLEX V4.60 bis V5.35
• VPN V4.60 bis V5.35
• ZyWALL/USG V4.60 bis V4.73

Die Lücke ist seit April 2023 bekannt. Darüber hinaus hat Zyxel noch weitere Schwachstellen geschlossen.

(des)