Administratoren von Zyxel-Geräten
der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX sollten möglichst
umgehend die Firmwareversion überprüfen. Zyxel hat in
ZLD V4.60 ein Zugangskonto mit fest eingestelltem Benutzernamen
zwyfp und festem Passwort einprogrammiert. Die Zugangsdaten des
Kontos, über welches die Software der Geräte verändert
werden kann, waren sogar im Klartext einer Binary-Datei auszulesen.
In der Kontenverwaltung ist das Konto nicht sichtbar. Sowohl der
Zugriff über SSH, als auch das Web-Interface wird mit den Zugangsdaten
möglich. Niels
Teusink von der niederländischen IT-Sicherheitsfirma EYE
hat die Sicherheitslücke CVE-2020-29583 Ende November 2020
entdeckt. Nach eigenen Angaben hat Zyxel Netwoorks die Sicherheitslücke
für automatische Updates über FTP angelegt. Solche Geräte
der VPN-Serie, welche unter SD-OS laufen, seien nicht betroffen.
Zyxel hat die betroffene Firmwareversion ZLD V4.60 zurückgezogen
und eine neue Version ZLD
V4.60 Patch 1 veröffentlicht. Weiterhin ist jedoch auch
die Firmwareversion V6.10 der WLAN-Access-Point-Controller NXC2500
und NXC5500 betroffen - Patches sollen hierbei laut
einer aktualisierten Sicherheitswarnung am 8. Januar erscheinen.
Nach einer Stichprobe von EYE nutzen rund zehn Prozent der Zyxel
USG/ATP/VPN mit niederländischer IP-Adresse die verwundete
Firmware Version. Weltweit könnten mehr als 10.000 Geräte
betroffen sein.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|