x
Ihr Ad-Blocker ist aktiviert
Bitte schalten Sie für diese Webseite den Ad-Blocker und den Schutz vor Aktivitätenverfolgung aus.

Zero-Day-Leck in Zyxel-NAS

Zero-Day-Leck in Zyxel-NAS

Zero-Day-Leck in Zyxel-NAS

(Quelle: Zyxel)
26. Februar 2020 -  In diversen NAS-Modellen von Zyxel klafft eine gefährliche Sicherheitslücke. Angreifer können aus der Ferne ohne Anmeldung Code einschleusen und ausführen.
Gewisse NAS-Modelle von Zyxel leiden unter einer Schwachstelle, für die ein Exploit teuer verkauft wird: Laut einer Meldung auf "Krebsonsecurity.com" wird der Exploit in Cybercrime-Foren für 20'000 US-Dollar angeboten. Zyxel hat das Leck am 24. Februar 2020 gemeldet und einen Tag später eine neue Firmware für die betroffenen Modelle der aktuellen Produktgeneration veröffentlicht. Auch ältere Modelle sind demnach betroffen, für die es keine Firmware-Updates mehr gibt. In diesen Fällen solle das Gerät nicht direkt mit dem Internet verbunden werden und möglichst durch einen Router mit Sicherheitsfunktionen oder eine Firewall zusätzlich abgesichert werden, indem man die Ports 80 und 443 gegen das Internet sperrt.

Die Schwachstelle CVE-2020-9054 ermöglicht es Angreifern, aus der Ferne ohne Anmeldung beliebigen Code auf dem Gerät auszuführen. Das Problem liegt im fehlerhaften Script weblogin.cgi, das bei bestimmten Eingaben den Benutzernamen nicht ordnungsgemäss verarbeitet und so eine Command Injection ermöglicht.

Auch das Aufspielen der neuen Firmware ist allerdings nicht ganz harmlos, wie "Borns IT- und Windows-Blog" anmerkt: Der Aktualisierungsprozess arbeitet über unsicheres FTP und verwendet statt einer kryptografischen Signatur bloss eine simple Checksum – was Angriffe über gefälschte Firmware-Updates möglich macht. (ubi)
Weitere Artikel zum Thema
 • 100'000 Heim-Router von Phishing-Attacken betroffen

Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2020/03
Schwerpunkt:
• AI als Chance für die Schweiz
• Fünf Empfehlungen für erfolgreiche KI-Projekte
• Eisenbahninspektion mit Deep Learning
• Marktübersicht: AI as a Service für Schweizer KMU
• Wie Firmen von KI im Kundendienst profitieren können
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER