Sicherheitslücken werden in Zyxel-Firewalls von Kriminellen missbraucht, damit sie sich Zugriff auf Netzwerke verschaffen. Wie IT-Sicherheitsforscher beobachtet haben, setzen die Angreifer anschließend die Ransomware Helldown ein, um Daten in großem Umfang zu exfiltrieren.

In einer Analyse schreibt das IT-Sicherheitsunternehmen Sekoia, dass die Helldown-Ransomware noch recht neu ist und im August erstmals beschrieben wurde. Damit werden Schwachstellen missbraucht, um Netzwerke von Opfern zu infiltrieren und die Ransomware zu verteilen. Anfang November waren auf der Data-Leakage-Site (DLS) der Gruppierung Helldown 31 Opfer aufgelistet. Sekoia berichtet, dass auch Zyxel Europa betroffen ist.

Zyxel warnte in einer Sicherheitsmitteilung aus dem September vor einer Befehlsschmuggel-Lücke im IPSec-VPN in diversen Firewalls (CVE-2024-42057, CVSS 8.1, Risiko "hoch"), die die Firmware-Version 5.39 abdichten soll. Laut Sekoia sei öffentlicher Exploit-Code bis Mitte November nicht gesichtet worden.

Ende September haben mehrere Nutzer im Zyxel-Forum dann von kompromittierten Firewalls mit dem verwundbaren Firmware-Stand 5.38 berichtet. Am 9. Oktober hat Zyxel eine Exploit-Warnung veröffentlicht und gibt dort Hinweise, wie betroffene Geräte erkannt werden können und welche Maßnahmen zur Bereinigung Admins ergreifen können.

Laut Sekoia deuten die Indizien darauf hin, dass Zyxel-Firewalls gezielt von Helldown angegriffen werden. Nicht nur Windows-Systeme, sondern auch Linux-Systeme können von der Ransomware befallen werden. Auch ESX-Server können damit angegriffen werden.

Zyxel-Firewall-Nutzer sollten daher die bereitgestellten Firmware-Updates zügig installieren und die in der Exploit-Warnung von Zyxel verlinkten Anleitung zu einer empfohlenen, sicheren Firewall-Konfiguration umsetzen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE