Zyxel hat Backdoor in Firewalls einprogrammiert

Zyxel Networks hat in Firewalls und Access-Point-Controller HintertĂĽren eingebaut und das Passwort verraten. FĂĽr die Firewalls gibt es ein Update.

In Pocket speichern vorlesen Druckansicht 482 Kommentare lesen
Zyxel USG1900

(Bild: Zyxel Networks)

Update
Lesezeit: 3 Min.

Wer ein Zyxel-Gerät der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX hat, sollte schleunigst die Firmwareversion überprüfen. Zyxel hat nämlich in ZLD V4.60 ein Zugangskonto mit fix eingestelltem Usernamen zwyfp und fixem Passwort einprogrammiert, über das die Software der Geräte verändert werden kann. Zu allem Überdruss waren diese Zugangsdaten sogar im Klartext in einer Binary-Datei ersichtlich.

Das Konto ist in der Kontenverwaltung nicht zu sehen, das Passwort lässt sich nicht ändern. Die Zugangsdaten erlauben Zugriff sowohl über SSH als auch das Web-Interface. Entdeckt wurde das als CVE-2020-29583 registrierte offene Scheunentor von Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE Ende November 2020. Zyxel Networks hat die Sicherheitslücke nach eigenen Angaben für automatische Firmware-Updates via FTP geschaffen. Unter SD-OS laufende Geräte der VPN-Serie seien nicht betroffen.

Weil fix einprogrammierte Zugangsdaten eine richtig schlechte Idee sind, hat Zyxel die Firmwareversion ZLD V4.60 zurückgezogen und durch ZLD V4.60 Patch 1 ersetzt. Betroffen ist allerdings auch Firmwareversion V6.10 der WLAN-Access-Point-Controller NXC2500 und NXC5500. Weil Zyxel erst im April einen Patch bereitstellen möchte, ist guter Rat teuer. [UPDATE] Die Patches sollen nun doch schon am 8. Jänner erscheinen.[/Update]

Eine Stichprobe EYEs hat ergeben, dass rund zehn Prozent der Zyxel USG/ATP/VPN mit niederländischer IP-Adresse die verwundete Firmware nutzen. Hochgerechnet könnten weltweit mehr als 10.000 Geräte betroffen sein – ein gefundenes Fressen für Botnetzbetreiber und andere Übeltäter.

[UPDATE 04.01.2021 09:40]

In einer aktualisierten Sicherheitswarnung weist Zyxel darauf hin, dass die Sicherheitsupdates für die betroffenen NXC-Serien früher, nämlich am Freitag, erscheinen sollen.

[UPDATE 04.01.2021 15:35]

heise-online-Leser Daniel Nussko teilte uns mit, dass er im August 2020 auf einen HintertĂĽr-Account (CVE-2020-13364, CVE-2020-13365) in neun Netzwerkspeicher-Modellen (NAS) Zyxels gestoĂźen ist. Hat ein Angreifer Zugriff auf den "unprivileged 'admin' user account" kann er ĂĽber SSH oder Telnet ein Passwort fĂĽr den Root-Account "NsaRescueAngel" generieren. Weitere Infos kann man in einer Warnmeldung von Zyxel nachlesen.

Patches stellt Zyxel allerdings nur für vier der neun Modelle zur Verfügung. Für vier weitere Modelle hat Zyxel den Support laut Nussko eingestellt, womit diese Geräte verwundbar bleiben. Für Hilfe zum neunten Modell sollen Betroffene den Support kontaktieren, sagt Zyxel.

(ds)