Schwachstellen in Zyxels ZyWall-Produkten
Die Weboberfläche bietet Angreifern die Möglichkeit, auf einfache Weise die Kontrolle über ein Gerät zu übernehmen. Ein Firmware-Update beseitigt die Schwachstellen.
- Daniel Bachfeld
Die webbasierte Bedienoberfläche der ZyWall-Produktereihe weist Schwachstellen auf, wodurch unbefugte Anwender Daten ausspähen und die Geräte umkonfigurieren können. Betroffen sind die ZyXEL USG Appliances 20, 20W, 50, 100, 200, 300, 1000, 1050 und 2000.
Nach Angaben von RedTeam Pentesting ist es möglich, durch Ändern einer Client-seitig gespeicherten JavaScript-Variable im Browser den Authentifizierungsmechanismus auszutricksen und die Konfigurationsdatei inklusive der gespeicherten Passwort-Hashes herunterzuladen. Es geht aber wohl noch einfacher: Laut Bericht reicht sogar die Angabe der vollständigen URL im Browser aus, um die Datei ohne jegliche Authentifizierung herunterzuladen.
Anschließend kann man die Passwörter knacken – oder eine manipulierte Konfigurationsdatei wieder hochladen. Auch das soll nach Erkenntnissen von RedTeam mit einem Trick ohne Authentifizierung möglich sein. Ein Angreifer könnte etwa einen eigenen Passwort-Hash eintragen und sich damit später als Admin anmelden. Für einen erfolgreichen Angriff ist es nur erforderlich, dass das Webinterface erreichbar ist; als Tools genügen ein Browser, curl oder wget.
Daneben ist es RedTeam über eine Known-Plain-Text-Attacke gelungen, die verschlüsselte Firmware zu entschlüsseln. Zyxel hat bereits am 25. April eine neue Firmware veröffentlicht, die die Probleme beseitigt. (dab)