Jetzt patchen! Angreifer scannen nach Zyxel-Backdoor

(Bild: Artur Szczybylo/Shutterstock.com)

Angriffe auf Zyxel-Netzwerkgeräte mit verwundbarer Firmware könnten kurz bevor stehen.

Wer Firewalls von Zyxel einsetzt, sollte diese zügig auf den aktuellen Stand bringen. Andernfalls könnten sich Angreifer direkt über das Internet via SSH auf Geräte einloggen und mit Admin-Rechten darauf zugreifen.

Dieses Szenario rückt nun in greifbare Nähe, da Angreifer derzeit aktiv nach SSH-Verbindungen scannen. Stoßen Sie auf eine Zyxel-SSH-Verbindung, könnten sie sich aufgrund des jüngst entdeckten Backdoor-Accounts zwyfp [1] mit einem bekannten Passwort einloggen.

Über die Scans berichtet unter anderem das SANS Internet Storm Center in einer Meldung [2]. Für die Firewalls der ATP-, USG-, USG-Flex- und VPN-Serie ist die abgesicherte Firmware 4.60 Patch1 erschienen. Zyxel zufolge sind aber nur Firewalls gefährdet, die zwischen 25. November und 3. Dezember 2020 auf die Firmware 4.60 aktualisiert wurden.

Das Sicherheitsupdate 6.10 Patch1 für die verwundbaren Access-Point-Controller NXC2500 und NXC5500 soll einer Warnmeldung von Zyxel [3] zufolge am 8. Januar erscheinen. VPN-Geräte mit SD-OS sollen davon nicht betroffen sein.

Generell gilt, dass Admin-Accounts stets nur für einen eingeschränkten Personenkreis zugängig sind. Zudem sollte man den Zugriff über das Internet vermeiden, um die Angriffsfläche zu verkleinern. Wenn es sich nicht vermeiden lässt, sollte man solche Fernzugriffe ausreichend absichern und verschlüsseln.

Außerdem müssen Admins darauf achten, dass die Firmware von Geräten stets aktuell ist. Wo es geht, sollte man solche Checks und Installationen automatisieren.

Auf die Hintertür stieß ein Sicherheitsforscher der niederländischen IT-Sicherheitsfirma Eye. Zyxel gibt an, den in der Kontoverwaltung nicht sichtbaren Account für automatische Firmware-Aktualisierungen via FTP geschaffen zu haben. Das Passwort ist statisch und nicht veränderbar. Darüber ist der Zugang über SSH und das Web-Interface möglich.


URL dieses Artikels:
https://www.heise.de/-5006024

Links in diesem Artikel:
[1] https://www.heise.de/news/Zyxel-hat-Backdoor-fix-in-Firewalls-einprogrammiert-5002067.html
[2] https://isc.sans.edu/diary/rss/26954
[3] https://www.zyxel.com/support/CVE-2020-29583.shtml
[4] mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Copyright © 2021 Heise Medien



Read full article on Heise


Registrieren

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.