Jetzt patchen! Angreifer scannen nach Zyxel-Backdoor

Wer Firewalls von Zyxel einsetzt, sollte diese zügig auf den aktuellen Stand bringen. Andernfalls könnten sich Angreifer direkt über das Internet via SSH auf Geräte einloggen und mit Admin-Rechten darauf zugreifen.

Dieses Szenario rückt nun in greifbare Nähe, da Angreifer derzeit aktiv nach SSH-Verbindungen scannen. Stoßen Sie auf eine Zyxel-SSH-Verbindung, könnten sie sich aufgrund des jüngst entdeckten Backdoor-Accounts zwyfp mit einem bekannten Passwort einloggen.

Über die Scans berichtet unter anderem das SANS Internet Storm Center in einer Meldung. Für die Firewalls der ATP-, USG-, USG-Flex- und VPN-Serie ist die abgesicherte Firmware 4.60 Patch1 erschienen. Zyxel zufolge sind aber nur Firewalls gefährdet, die zwischen 25. November und 3. Dezember 2020 auf die Firmware 4.60 aktualisiert wurden.

Das Sicherheitsupdate 6.10 Patch1 für die verwundbaren Access-Point-Controller NXC2500 und NXC5500 soll einer Warnmeldung von Zyxel zufolge am 8. Januar erscheinen. VPN-Geräte mit SD-OS sollen davon nicht betroffen sein.

Allgemeine Sicherheitstipps

Generell gilt, dass Admin-Accounts stets nur für einen eingeschränkten Personenkreis zugängig sind. Zudem sollte man den Zugriff über das Internet vermeiden, um die Angriffsfläche zu verkleinern. Wenn es sich nicht vermeiden lässt, sollte man solche Fernzugriffe ausreichend absichern und verschlüsseln.

Außerdem müssen Admins darauf achten, dass die Firmware von Geräten stets aktuell ist. Wo es geht, sollte man solche Checks und Installationen automatisieren.

Auf die Hintertür stieß ein Sicherheitsforscher der niederländischen IT-Sicherheitsfirma Eye. Zyxel gibt an, den in der Kontoverwaltung nicht sichtbaren Account für automatische Firmware-Aktualisierungen via FTP geschaffen zu haben. Das Passwort ist statisch und nicht veränderbar. Darüber ist der Zugang über SSH und das Web-Interface möglich.

(des)