zurück zum Artikel

Verschiedene Netzwerkgeräte von Zyxel sind über eine kritische Schwachstelle attackierbar.

Angreifer könnten aus der Ferne auf einigen Firewalls und Hotspot Gateways von Zyxel Gast-Accounts anlegen und so beispielsweise auf Netzwerke zugreifen. Auch XSS-Attacken sind vorstellbar. Für die betroffenen Serien stehen Sicherheitsupdates zum Download bereit.

In einer Sicherheitswarnung listet Zyxel die verwundbaren Geräte der Serien UAG, USG, VPN und ZyWall auf [1]. Die Schwachstellen (CVE-2019-12581, CVE-2019-12583) finden sich in der Free-Time-Komponente (free_time-failed.cgi und free_time.cgi). Ist eine Attacke erfolgreich, könnten Angreifer aufgrund einer fehlenden Zugriffsprüfung Gast-Accounts anlegen.

Das kann Einblicke in Netzwerke gewähren oder Geräte via DoS [2]-Attacke zum Erliegen bringen. Diese Sicherheitslücke gilt als "kritisch". Wenngleich die Rechte eines Gast-Kontos eingeschränkt sind und der Admin-Bereich gesperrt ist.

Setzen Angreifer an der anderen Schwachstelle an, könnten sie Cookies eines Gast-Accounts abgreifen. Der Bedrohungsgrad der Lücke gilt als "mittel". (des [3])

URL dieses Artikels:
https://www.heise.de/-4458725

Links in diesem Artikel:
[1] https://www.zyxel.com/support/vulnerabilities-related-to-the-Free-Time-feature.shtml
[2] https://www.heise.de/thema/DoS_Schwachstelle
[3] mailto:des@heise.de

Copyright © 2019 Heise Medien