{"id":26052,"date":"2021-01-11T22:59:14","date_gmt":"2021-01-11T20:59:14","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26052"},"modified":"2021-01-11T22:59:14","modified_gmt":"2021-01-11T20:59:14","slug":"zyxel-undocumented-account","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/zyxel-undocumented-account\/26052\/","title":{"rendered":"Festcodiertes Konto in ZyXel-Ger\u00e4ten"},"content":{"rendered":"<p>Vergangene Weihnachten ver\u00f6ffentlichte der Forscher Niels Teusink von der niederl\u00e4ndischen Firma EYE einen Bericht \u00fcber eine Schwachstelle in <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-29583\" target=\"_blank\" rel=\"noopener nofollow\">Zyxel-Ger\u00e4ten<\/a>: ein undokumentiertes Konto auf Admin-Ebene namens \u201ezyfwp\u201c mit einem festcodierten Passwort in einer Reihe von Hardware-Firewalls und Wireless-Controllern. Der Firmware-Code enth\u00e4lt das Passwort, das unverschl\u00fcsselt ist. Besitzern wird dringend empfohlen, ihre Firmware zu aktualisieren.<\/p>\n<h2>Worin besteht das Risiko?<\/h2>\n<p>Das Konto erm\u00f6glicht es einem Au\u00dfenstehenden, sich \u00fcber eine Webschnittstelle oder das SSH-Protokoll mit dem Ger\u00e4t zu verbinden und Zugriff auf die Administratorebene zu erhalten. Das Konto kann nicht deaktiviert werden, und das Kennwort kann nicht ge\u00e4ndert werden. Mit anderen Worten: Sie k\u00f6nnen die Schwachstelle nicht beseitigen, indem Sie die Ger\u00e4teeinstellungen \u00e4ndern.<\/p>\n<p>Besonders gef\u00e4hrlich ist laut Teusink, dass einige Ger\u00e4te den Port 443 f\u00fcr SSL-VPN zus\u00e4tzlich zu seiner normalen Verwendung f\u00fcr den Zugriff auf das Web-Interface nutzen. Damit ist der Port in vielen Netzwerken offen f\u00fcr Zugriffe aus dem Internet. Der Fernzugriff auf Unternehmensressourcen ist in diesen Tagen besonders gefragt, da viele Mitarbeiter weltweit w\u00e4hrend der Coronavirus-Pandemie von zu Hause aus arbeiten.<\/p>\n<p>Das VPN-Gateway erm\u00f6glicht es den Benutzern, neue Konten f\u00fcr den Zugriff auf Ressourcen innerhalb der Unternehmensumgebung zu erstellen. Die Schwachstelle kann es Angreifern auch erm\u00f6glichen, das Ger\u00e4t neu zu konfigurieren und den Datenverkehr zu blockieren oder abzufangen.<\/p>\n<p>Der Forscher verzichtete aus ethischen und sicherheitstechnischen Gr\u00fcnden darauf, das Passwort zu ver\u00f6ffentlichen, aber in seinem Beitrag erl\u00e4utert er, wo es zu finden ist. Verschiedene Cybersecurity-Ressourcen haben es bereits \u00f6ffentlich gemacht. Selbst ungeschulte Hacker k\u00f6nnen die Schwachstelle nun ausnutzen, was die Situation besonders prek\u00e4r macht.<\/p>\n<h2>Welche Ger\u00e4te sind gef\u00e4hrdet?<\/h2>\n<p>Die Sicherheitsl\u00fccke betrifft die Small-Business-Firewall-Ger\u00e4te der Serien ATP, USG, USG FLEX und VPN mit der Firmware-Version ZLD v4.60. Die vollst\u00e4ndige Liste der Modelle, die ein sofortiges Firmware-Update ben\u00f6tigen, sowie Links zu den entsprechenden <a href=\"https:\/\/businessforum.zyxel.com\/discussion\/5252\/zld-v4-60-revoke-and-wk48-firmware-release\" target=\"_blank\" rel=\"noopener nofollow\">Patches<\/a> finden Sie auf der <a href=\"https:\/\/businessforum.zyxel.com\/categories\/security#CategoryGroup-deutschsprachiger-bereich\" target=\"_blank\" rel=\"noopener nofollow\">Webseite von ZyXel<\/a>.<\/p>\n<p>Die Liste der anf\u00e4lligen Ger\u00e4te umfasst auch die Wireless-Netzwerk-Controller NXC2500 und NXC5500 mit den Firmware-Versionen v6.00 bis v6.10, f\u00fcr die jedoch noch keine Patches verf\u00fcgbar sind. ZyXel verspricht eine Ver\u00f6ffentlichung am 8. Januar.<\/p>\n<p>\u00c4ltere Firmware-Versionen sind von der Sicherheitsl\u00fccke nicht betroffen, was aber nicht bedeutet, dass diese Besitzer nichts zu bef\u00fcrchten haben. Die Entwicklung neuer Firmware erfolgt aus einem bestimmten Grund \u2013 oft aus mehr als einem \u2013 und die Aktualisierung der Ger\u00e4te tr\u00e4gt zu deren Sicherheit bei.<\/p>\n<h2>Was Sie unbedingt tun sollten<\/h2>\n<p>Aktualisieren Sie f\u00fcr den Anfang sofort die Firmware aller anf\u00e4lligen Ger\u00e4te mit den Patches, die <a href=\"https:\/\/businessforum.zyxel.com\/discussion\/5252\/zld-v4-60-revoke-and-wk48-firmware-release\" target=\"_blank\" rel=\"noopener nofollow\">in den Foren von ZyXel verf\u00fcgbar<\/a> sind. Falls noch keine Patches f\u00fcr Ihre Ger\u00e4te verf\u00fcgbar sind, sollten Sie die Foren im Auge behalten und das Update anwenden, sobald es ver\u00f6ffentlicht wird.<\/p>\n<p>Dar\u00fcber hinaus empfehlen wir den Einsatz einer starken <a href=\"https:\/\/www.kaspersky.de\/small-business-security\/small-office-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_banner____ksos___\" target=\"_blank\" rel=\"noopener\">Workstation Security<\/a><strong>. <\/strong>Denn die Computer der Mitarbeiter m\u00fcssen gesch\u00fctzt werden, bevor ein Angreifer potenziell Zugriff auf das Unternehmensnetzwerk erh\u00e4lt.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"ksos\"><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u201eZyfwp\u201c, ein Konto auf Administrator-Ebene mit einem festcodierten Passwort, in mehreren Netzwerkger\u00e4ten des Herstellers ZyXel entdeckt.<\/p>\n","protected":false},"author":2581,"featured_media":26053,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[3739,1498],"class_list":{"0":"post-26052","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-netzwerkgerate","10":"tag-schwachstellen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zyxel-undocumented-account\/26052\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zyxel-undocumented-account\/22392\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zyxel-undocumented-account\/17880\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zyxel-undocumented-account\/8864\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zyxel-undocumented-account\/24069\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zyxel-undocumented-account\/22150\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zyxel-undocumented-account\/20834\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zyxel-undocumented-account\/24497\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zyxel-undocumented-account\/23699\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zyxel-undocumented-account\/29933\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zyxel-undocumented-account\/9205\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zyxel-undocumented-account\/38335\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zyxel-undocumented-account\/16229\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zyxel-undocumented-account\/16808\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/zyxel-undocumented-account\/14356\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/zyxel-undocumented-account\/29858\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/zyxel-undocumented-account\/26576\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zyxel-undocumented-account\/23429\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zyxel-undocumented-account\/28769\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zyxel-undocumented-account\/28579\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=26052"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26052\/revisions"}],"predecessor-version":[{"id":26054,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26052\/revisions\/26054"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/26053"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=26052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=26052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=26052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}