Sicherheitswarnung für Zyxel-Firewalls

Firewall-Lösungen des Herstellers Zyxel werden derzeit angegriffen, wobei noch kaum Erkenntnisse über den Angriffsvektor vorliegen. Wie der Hersteller auf seinen Support-Seiten erklärt, sei man "vor kurzem auf einen ausgeklügelten Bedrohungsakteur aufmerksam geworden", der auf Zyxel-Sicherheitsanwendungen mit Remote-Management oder aktiviertem SSL-VPN abziele. Betroffen seien alle Modelle der Serien USG/Zywall, USG Flex, ATP und VPN. Angreifer würden über das WAN auf die Geräte zugreifen, um dann die Authentifizierung zu umgehen und sich daraufhin einen VPN-Tunnel einzurichten. Dabei würden bewusst unauffällige Benutzerkonten wie zyxel_sslvpn oder zyxel_vpn_test gewählt, um die Konfiguration der Geräte zu manipulieren.

So genau scheinen die Verantwortlichen der Schwachstelle noch nicht auf die Spur gekommen zu sein. Jedenfalls wird erklärt, man glaube, "dass die Einhaltung einer angemessenen Sicherheitsrichtlinie für den Fernzugriff die Bedrohung effektiv abwehren" könne und hat entsprechende Richtlinien veröffentlicht. Dazu heisst es, man arbeite mit Hochdruck an einem Hotfix zur Eindämmung der Bedrohung.


Ob man bereits angegriffen wurde, lässt sich laut Zyxel an möglichen Konfigurationsänderungen erkennen. So sollte man prüfen, ob unbekannte Admin-Konten, Richtlinien-Routen, sichere Richtlinien oder VPN-Setups erstellt worden sind. Stellt man Änderungen an der Konfiguration fest, sollte umgehend eine Reihe von Massnahmen durchgeführt werden, die auf der verlinkten Support-Seite teilweise auch mit Videos erläutert werden. Darüber hinaus wird auch über den Zyxel-Support Hilfestellung angeboten. (rd)