Das Konto ist in der Kontenverwaltung nicht zu sehen, das Passwort lässt sich nicht ändern. Die Zugangsdaten erlauben Zugriff sowohl über SSH als auch das Web-Interface. Entdeckt wurde das offene Scheunentor von Niels Teusink von der niederländischen IT-Sicherheitsfirma EYE Ende November 2020. Zyxel Networks hat die Sicherheitslücke nach eigenen Angaben für automatische Firmware-Updates via FTP geschaffen. Unter SD-OS laufende Geräte der VPN-Serie seien nicht betroffen.a
Auch AP-Controller NXC betroffen – Patch erst im April
Weil fix einprogrammierte Zugangsdaten eine richtig schlechte Idee sind, hat Zyxel die Firmwareversion ZLD V4.60 zurückgezogen und durch ZLD V4.60 Patch 1 ersetzt. Betroffen ist allerdings auch Firmwareversion V6.10 der WLAN-Access-Point-Controller NXC2500 und NXC5500. Weil Zyxel erst im April einen Patch bereitstellen möchte, ist guter Rat teuer.
Eine Stichprobe EYEs hat ergeben, dass rund zehn Prozent der Zyxel USG/ATP/VPN mit niederländischer IP-Adresse die verwundete Firmware nutzen. Hochgerechnet könnten weltweit mehr als 10.000 Geräte betroffen sein – ein gefundenes Fressen für Botnetzbetreiber und andere Übeltäter.
Update vom 4. Januar 2021
In einer aktualisierten Sicherheitswarnung weist Zyxel darauf hin, dass die Sicherheitsupdates für die betroffenen NXC-Serien nun früher (8. Januar) erscheinen sollen.
Quelle: heise Online Redaktion