Administratoren von Zyxel-Geräten der Reihen USG, ATP, VPN, ZyWALL oder USG FLEX sollten möglichst umgehend die Firmwareversion überprüfen. Zyxel hat in ZLD V4.60 ein Zugangskonto mit fest eingestelltem Benutzernamen zwyfp und festem Passwort einprogrammiert. Die Zugangsdaten des Kontos, über welches die Software der Geräte verändert werden kann, waren sogar im Klartext einer Binary-Datei auszulesen.

In der Kontenverwaltung ist das Konto nicht sichtbar. Sowohl der Zugriff über SSH, als auch das Web-Interface wird mit den Zugangsdaten möglich. Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE hat die Sicherheitslücke CVE-2020-29583 Ende November 2020 entdeckt. Nach eigenen Angaben hat Zyxel Netwoorks die Sicherheitslücke für automatische Updates über FTP angelegt. Solche Geräte der VPN-Serie, welche unter SD-OS laufen, seien nicht betroffen.

Zyxel hat die betroffene Firmwareversion ZLD V4.60 zurückgezogen und eine neue Version ZLD V4.60 Patch 1 veröffentlicht. Weiterhin ist jedoch auch die Firmwareversion V6.10 der WLAN-Access-Point-Controller NXC2500 und NXC5500 betroffen - Patches sollen hierbei laut einer aktualisierten Sicherheitswarnung am 8. Januar erscheinen.

Nach einer Stichprobe von EYE nutzen rund zehn Prozent der Zyxel USG/ATP/VPN mit niederländischer IP-Adresse die verwundete Firmware Version. Weltweit könnten mehr als 10.000 Geräte betroffen sein.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE