Festcodiertes Konto in ZyXel-Geräten

„Zyfwp“, ein Konto auf Administrator-Ebene mit einem festcodierten Passwort, in mehreren Netzwerkgeräten des Herstellers ZyXel entdeckt.

Vergangene Weihnachten veröffentlichte der Forscher Niels Teusink von der niederländischen Firma EYE einen Bericht über eine Schwachstelle in Zyxel-Geräten: ein undokumentiertes Konto auf Admin-Ebene namens „zyfwp“ mit einem festcodierten Passwort in einer Reihe von Hardware-Firewalls und Wireless-Controllern. Der Firmware-Code enthält das Passwort, das unverschlüsselt ist. Besitzern wird dringend empfohlen, ihre Firmware zu aktualisieren.

Worin besteht das Risiko?

Das Konto ermöglicht es einem Außenstehenden, sich über eine Webschnittstelle oder das SSH-Protokoll mit dem Gerät zu verbinden und Zugriff auf die Administratorebene zu erhalten. Das Konto kann nicht deaktiviert werden, und das Kennwort kann nicht geändert werden. Mit anderen Worten: Sie können die Schwachstelle nicht beseitigen, indem Sie die Geräteeinstellungen ändern.

Besonders gefährlich ist laut Teusink, dass einige Geräte den Port 443 für SSL-VPN zusätzlich zu seiner normalen Verwendung für den Zugriff auf das Web-Interface nutzen. Damit ist der Port in vielen Netzwerken offen für Zugriffe aus dem Internet. Der Fernzugriff auf Unternehmensressourcen ist in diesen Tagen besonders gefragt, da viele Mitarbeiter weltweit während der Coronavirus-Pandemie von zu Hause aus arbeiten.

Das VPN-Gateway ermöglicht es den Benutzern, neue Konten für den Zugriff auf Ressourcen innerhalb der Unternehmensumgebung zu erstellen. Die Schwachstelle kann es Angreifern auch ermöglichen, das Gerät neu zu konfigurieren und den Datenverkehr zu blockieren oder abzufangen.

Der Forscher verzichtete aus ethischen und sicherheitstechnischen Gründen darauf, das Passwort zu veröffentlichen, aber in seinem Beitrag erläutert er, wo es zu finden ist. Verschiedene Cybersecurity-Ressourcen haben es bereits öffentlich gemacht. Selbst ungeschulte Hacker können die Schwachstelle nun ausnutzen, was die Situation besonders prekär macht.

Welche Geräte sind gefährdet?

Die Sicherheitslücke betrifft die Small-Business-Firewall-Geräte der Serien ATP, USG, USG FLEX und VPN mit der Firmware-Version ZLD v4.60. Die vollständige Liste der Modelle, die ein sofortiges Firmware-Update benötigen, sowie Links zu den entsprechenden Patches finden Sie auf der Webseite von ZyXel.

Die Liste der anfälligen Geräte umfasst auch die Wireless-Netzwerk-Controller NXC2500 und NXC5500 mit den Firmware-Versionen v6.00 bis v6.10, für die jedoch noch keine Patches verfügbar sind. ZyXel verspricht eine Veröffentlichung am 8. Januar.

Ältere Firmware-Versionen sind von der Sicherheitslücke nicht betroffen, was aber nicht bedeutet, dass diese Besitzer nichts zu befürchten haben. Die Entwicklung neuer Firmware erfolgt aus einem bestimmten Grund – oft aus mehr als einem – und die Aktualisierung der Geräte trägt zu deren Sicherheit bei.

Was Sie unbedingt tun sollten

Aktualisieren Sie für den Anfang sofort die Firmware aller anfälligen Geräte mit den Patches, die in den Foren von ZyXel verfügbar sind. Falls noch keine Patches für Ihre Geräte verfügbar sind, sollten Sie die Foren im Auge behalten und das Update anwenden, sobald es veröffentlicht wird.

Darüber hinaus empfehlen wir den Einsatz einer starken Workstation Security. Denn die Computer der Mitarbeiter müssen geschützt werden, bevor ein Angreifer potenziell Zugriff auf das Unternehmensnetzwerk erhält.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.