Zyxel hat Backdoor in Firewalls einprogrammiert
Zyxel Networks hat in Firewalls und Access-Point-Controller Hintertüren eingebaut und das Passwort verraten. Für die Firewalls gibt es ein Update.
Wer ein Zyxel-Gerät der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX hat, sollte schleunigst die Firmwareversion überprüfen. Zyxel hat nämlich in ZLD V4.60 ein Zugangskonto mit fix eingestelltem Usernamen zwyfp
und fixem Passwort einprogrammiert, über das die Software der Geräte verändert werden kann. Zu allem Überdruss waren diese Zugangsdaten sogar im Klartext in einer Binary-Datei ersichtlich.
Das Konto ist in der Kontenverwaltung nicht zu sehen, das Passwort lässt sich nicht ändern. Die Zugangsdaten erlauben Zugriff sowohl über SSH als auch das Web-Interface. Entdeckt wurde das als CVE-2020-29583 registrierte offene Scheunentor von Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE Ende November 2020. Zyxel Networks hat die Sicherheitslücke nach eigenen Angaben für automatische Firmware-Updates via FTP geschaffen. Unter SD-OS laufende Geräte der VPN-Serie seien nicht betroffen.
Auch AP-Controller NXC betroffen – Patch erst im April
Weil fix einprogrammierte Zugangsdaten eine richtig schlechte Idee sind, hat Zyxel die Firmwareversion ZLD V4.60 zurückgezogen und durch ZLD V4.60 Patch 1 ersetzt. Betroffen ist allerdings auch Firmwareversion V6.10 der WLAN-Access-Point-Controller NXC2500 und NXC5500. Weil Zyxel erst im April einen Patch bereitstellen möchte, ist guter Rat teuer. [UPDATE] Die Patches sollen nun doch schon am 8. Jänner erscheinen.[/Update]
Eine Stichprobe EYEs hat ergeben, dass rund zehn Prozent der Zyxel USG/ATP/VPN mit niederländischer IP-Adresse die verwundete Firmware nutzen. Hochgerechnet könnten weltweit mehr als 10.000 Geräte betroffen sein – ein gefundenes Fressen für Botnetzbetreiber und andere Übeltäter.
[UPDATE 04.01.2021 09:40]
In einer aktualisierten Sicherheitswarnung weist Zyxel darauf hin, dass die Sicherheitsupdates für die betroffenen NXC-Serien früher, nämlich am Freitag, erscheinen sollen.
[UPDATE 04.01.2021 15:35]
heise-online-Leser Daniel Nussko teilte uns mit, dass er im August 2020 auf einen Hintertür-Account (CVE-2020-13364, CVE-2020-13365) in neun Netzwerkspeicher-Modellen (NAS) Zyxels gestoßen ist. Hat ein Angreifer Zugriff auf den "unprivileged 'admin' user account" kann er über SSH oder Telnet ein Passwort für den Root-Account "NsaRescueAngel" generieren. Weitere Infos kann man in einer Warnmeldung von Zyxel nachlesen.
Patches stellt Zyxel allerdings nur für vier der neun Modelle zur Verfügung. Für vier weitere Modelle hat Zyxel den Support laut Nussko eingestellt, womit diese Geräte verwundbar bleiben. Für Hilfe zum neunten Modell sollen Betroffene den Support kontaktieren, sagt Zyxel.
(ds)