Zyxel hat Backdoor in Firewalls einprogrammiert

Zyxel Networks hat in Firewalls und Access-Point-Controller Hintertüren eingebaut und das Passwort verraten. Für die Firewalls gibt es ein Update.

zurück zum Artikel

Stand: 04.01.2021 02:29 Uhr

(Bild: Zyxel Networks)

Zyxel Networks hat in Firewalls und Access-Point-Controller Hintertüren eingebaut und das Passwort verraten. Für die Firewalls gibt es ein Update.

Wer ein Zyxel-Gerät der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX hat, sollte schleunigst die Firmwareversion überprüfen. Zyxel hat nämlich in ZLD V4.60 ein Zugangskonto mit fix eingestelltem Usernamen zwyfp und fixem Passwort einprogrammiert, über das die Software der Geräte verändert werden kann. Zu allem Überdruss waren diese Zugangsdaten sogar im Klartext in einer Binary-Datei ersichtlich.

Das Konto ist in der Kontenverwaltung nicht zu sehen, das Passwort lässt sich nicht ändern. Die Zugangsdaten erlauben Zugriff sowohl über SSH als auch das Web-Interface. Entdeckt wurde das als CVE-2020-29583 [1] registrierte offene Scheunentor von Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE [2] Ende November 2020. Zyxel Networks hat die Sicherheitslücke nach eigenen Angaben für automatische Firmware-Updates via FTP geschaffen. Unter SD-OS laufende Geräte der VPN-Serie seien nicht betroffen.

Auch AP-Controller NXC betroffen – Patch erst im April

Weil fix einprogrammierte Zugangsdaten eine richtig schlechte Idee sind, hat Zyxel die Firmwareversion ZLD V4.60 zurückgezogen und durch ZLD V4.60 Patch 1 ersetzt [3]. Betroffen ist allerdings auch Firmwareversion V6.10 der WLAN-Access-Point-Controller NXC2500 und NXC5500. Weil Zyxel erst im April einen Patch bereitstellen möchte, ist guter Rat teuer. [UPDATE] Die Patches sollen nun am 8. Janaur erscheinen.

Eine Stichprobe EYEs hat ergeben, dass rund zehn Prozent der Zyxel USG/ATP/VPN mit niederländischer IP-Adresse die verwundete Firmware nutzen. Hochgerechnet könnten weltweit mehr als 10.000 Geräte betroffen sein – ein gefundenes Fressen für Botnetzbetreiber [4] und andere Übeltäter.

[UPDATE 04.01.2021 09:40]

In einer aktualisierten Sicherheitswarnung [5] weist Zyxel darauf hin, dass die Sicherheitsupdates für die betroffenen NXC-Serien nun früher (8. Januar) erscheinen sollen.

[UPDATE 04.01.2021 15:35]

Der Leser Daniel Nussko teilte uns mit, dass er im August 2020 auf einen Hintertür-Account (CVE-2020-13364, CVE-2020-13365) in Netzwerkspeichern (NAS) von Zyxel gestoßen ist. Hat ein Angreifer Zugriff auf den “unprivileged “admin” user account” könnte er über SSH oder Telnet ein Passwort für den Root-Account “NsaRescueAngel” generieren. Weitere Infos kann man in einer Warnmeldung von Zyxel [6] nachlesen.

(ds [7])

URL dieses Artikels:
https://www.heise.de/-5002067

Links in diesem Artikel:
**[1]** https://www.zyxel.com/support/CVE-2020-29583.shtml
**[2]** https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
**[3]** https://businessforum.zyxel.com/discussion/5252/zld-v4-60-revoke-and-wk48-firmware-release
**[4]** https://www.heise.de/thema/Botnet
**[5]** https://www.zyxel.com/support/CVE-2020-29583.shtml
**[6]** https://www.zyxel.com/support/Zyxel-security-advisory-for-NAS-remote-access-vulnerability.shtml
**[7]** mailto:[email protected]

Copyright © 2021 Heise Medien

Source