Zero-Day-Leck in Zyxel-NAS

von Urs Binder

26. Februar 2020 - In diversen NAS-Modellen von Zyxel klafft eine gefährliche Sicherheitslücke. Angreifer können aus der Ferne ohne Anmeldung Code einschleusen und ausführen.

Gewisse NAS-Modelle von Zyxel leiden unter einer Schwachstelle, für die ein Exploit teuer verkauft wird: Laut einer Meldung auf "Krebsonsecurity.com" wird der Exploit in Cybercrime-Foren für 20'000 US-Dollar angeboten. Zyxel hat das Leck am 24. Februar 2020 gemeldet und einen Tag später eine neue Firmware für die betroffenen Modelle der aktuellen Produktgeneration veröffentlicht. Auch ältere Modelle sind demnach betroffen, für die es keine Firmware-Updates mehr gibt. In diesen Fällen solle das Gerät nicht direkt mit dem Internet verbunden werden und möglichst durch einen Router mit Sicherheitsfunktionen oder eine Firewall zusätzlich abgesichert werden, indem man die Ports 80 und 443 gegen das Internet sperrt.

Die Schwachstelle CVE-2020-9054 ermöglicht es Angreifern, aus der Ferne ohne Anmeldung beliebigen Code auf dem Gerät auszuführen. Das Problem liegt im fehlerhaften Script weblogin.cgi, das bei bestimmten Eingaben den Benutzernamen nicht ordnungsgemäss verarbeitet und so eine Command Injection ermöglicht.

Auch das Aufspielen der neuen Firmware ist allerdings nicht ganz harmlos, wie "Borns IT- und Windows-Blog" anmerkt: Der Aktualisierungsprozess arbeitet über unsicheres FTP und verwendet statt einer kryptografischen Signatur bloss eine simple Checksum – was Angriffe über gefälschte Firmware-Updates möglich macht.

Copyright by Swiss IT Media 2020