Heikles Backdoor in Zyxel-Firewalls entdeckt

Laut einer Meldung von bleepingcomputer.com bergen über 100’000 Zyxel-Firewalls und Access Point Controller eine Sicherheitslücke, die es erlaubt, von aussen auf das Admin-Konto zuzugreifen. Entdeckt hat das Scheunentor die niederländische Sicherheitsfirma Eye in der neuesten Firmware 4.60 bei einigen Zyxel-Geräten. Allem Anschein nach wurde in einem Patch File ein fix vorprogrammierter Zugang hinterlassen.

Über das Zugangskonto mit Usernamen zwyfp und fixem Passwort lässt sich die Software der Geräte warten. In der Benutzerverwaltung seien die Credentials zwar nicht sichtbar, auch das Passwort liesse sich darüber nicht ändern; laut dem Sicherheitsberater Niels Teusik ist aber Zugriff sowohl über SSH als auch über das Web-Interface möglich. Daher kann der Zugang trotzdem genutzt werden, zumal auch SSL-VPN-Verbindungen über denselben Port laufen wie das Web-Interface und viele Anwender den Port 443 offenhalten.

Sicherheitslücke mehrheitlich gestopft

Die Sicherheitsfirma Eye sei bereits in der Lage gewesen, in den Niederlanden 3000 anfällige Zyxel-Geräte auszumachen. Entdeckt wurde die Sicherheitslücke Ende November. Zyxel die Firmwareversion ZLD V4.60 inzwischen zurückgezogen und durch einen Patch ersetzt. Betroffen seien Zyxel-Geräte der Reihe USG, ATP, VPN, ZyWALL oder USG FLEX.

Die Sicherheitslücke ist nicht ganz ungefährlich und wurde vermutlich «übersehen». Immerhin dauerte es nur wenige Tage bis zur Bereitstellung der Sicherheitsupdates. Bereits nach etwa einer Woche seit Bekanntwerden der Lücke hat Zyxel ein erstes Sicherheitsupdate bereitgestellt. Laut Eye wurde dann der zweite Patch bereits am 15. Dezember 2020 für die meisten Geräte bereitgestellt und am 18. Dezember ein weiterer für alle übrigen betroffenen Access Point Controller und Firewalls.

Betroffen sind allerdings auch WLAN-Access-Point-Controller (beispielsweise die Modelle NXC2500 und NXC5500), zu denen erst gegen April ein Patch von Zyxel nachgereicht werden dürfte.

Quelle: Eye/Heise