Lücke in NAS von Zyxel: Nach Hotfixes im Februar nun neue Firmware verfügbar

Für die von Brian Krebs Ende Februar entdeckte kritische Sicherheitslücke CVE-2020-9054 gab es zeitnah Hotfixes. Nun steht auch abgesicherte Firmware bereit.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Lücke in Zyxel NAS von Februar: Nach Hotfixes nun auch neue Firmware verfügbar

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.

Von einer als kritisch eingestuften Sicherheitslücke in verschiedenen Netzwerkspeicher-Modellen (NAS), aber auch in Firewalls des Herstellers Zyxel, berichtete heise Security bereits Ende Februar. Der Sicherheitsforscher Brian Krebs hatte die aus der Ferne ausnutzbare Lücke CVE-2020-9054 entdeckt und an das CERT der Carnegie Mellon University gemeldet, das den höchstmöglichen CVSS-v3-Score 10.0 für die Lücke vergab.

Zyxel veröffentlichte anschließend innerhalb von 24 Stunden Hotfixes. Nun gibt es für alle noch in der Gewährleistungs- und Supportperiode befindlichen verwundbaren NAS und Firewalls neue, abgesicherte Firmware-Versionen.

Dem Security Advisory zu CVE-2020-9054 hat Zyxel entsprechende Download-Links hinzugefügt. Das Advisory enthält zugleich auch eine Übersicht über alle betroffenen Geräte.

Der Hersteller hat die Hotfixes aus dem Advisory entfernt und rät stattdessen zum umgehenden Update auf die aktuelle Firmware-Version. Kein Wunder: Das Ausnutzen der Lücke ist offenbar extrem einfach und Exploit-Code bereits seit einer Weile verfügbar.

Für eine erfolgreiche Attacke müssten Angreifer lediglich zwei bestimmte Zeichen in das Feld für den Nutzernamen eingeben. Dafür soll das Versenden von präparierten HTTP-POST- oder GET-Anfragen ausreichen. Aufgrund einer fehlerhaften Überprüfung könnte so Schadcode zum Webserver durchdringen. Am Ende ist davon auszugehen, dass Angreifer Schadcode mit Root-Rechten ausführen können.

Aus dem Support gefallene Produkte sollten grundsätzlich nicht mehr direkt ans Internet gehängt und zusätzlich durch eine Firewall geschützt werden, rät der Hersteller.

Mehr Infos

ddd

(ovw)