Zero-Day-Leck in Zyxel-NAS
Quelle: Zyxel

Zero-Day-Leck in Zyxel-NAS

In diversen NAS-Modellen von Zyxel klafft eine gefährliche Sicherheitslücke. Angreifer können aus der Ferne ohne Anmeldung Code einschleusen und ausführen.
26. Februar 2020

     

Gewisse NAS-Modelle von Zyxel leiden unter einer Schwachstelle, für die ein Exploit teuer verkauft wird: Laut einer Meldung auf "Krebsonsecurity.com" wird der Exploit in Cybercrime-Foren für 20'000 US-Dollar angeboten. Zyxel hat das Leck am 24. Februar 2020 gemeldet und einen Tag später eine neue Firmware für die betroffenen Modelle der aktuellen Produktgeneration veröffentlicht. Auch ältere Modelle sind demnach betroffen, für die es keine Firmware-Updates mehr gibt. In diesen Fällen solle das Gerät nicht direkt mit dem Internet verbunden werden und möglichst durch einen Router mit Sicherheitsfunktionen oder eine Firewall zusätzlich abgesichert werden, indem man die Ports 80 und 443 gegen das Internet sperrt.

Die Schwachstelle CVE-2020-9054 ermöglicht es Angreifern, aus der Ferne ohne Anmeldung beliebigen Code auf dem Gerät auszuführen. Das Problem liegt im fehlerhaften Script weblogin.cgi, das bei bestimmten Eingaben den Benutzernamen nicht ordnungsgemäss verarbeitet und so eine Command Injection ermöglicht.


Auch das Aufspielen der neuen Firmware ist allerdings nicht ganz harmlos, wie "Borns IT- und Windows-Blog" anmerkt: Der Aktualisierungsprozess arbeitet über unsicheres FTP und verwendet statt einer kryptografischen Signatur bloss eine simple Checksum – was Angriffe über gefälschte Firmware-Updates möglich macht. (ubi)


Weitere Artikel zum Thema

100'000 Heim-Router von Phishing-Attacken betroffen

4. Oktober 2018 - Grossangelegte Phishing-Attacken zielen derzeit auf über hunderttausend Heim-Router ab. Die Nutzer sollen mithilfe manipulierter DNS auf gefälschte Banking-Portale gelockt werden. Die Welle wurde GhostDNS getauft.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER