Verschiedene NAS-Modelle von Zyxel sind über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2020-9054) angreifbar. Exploit-Code ist offensichtlich bereits länger unterwegs. Ob es bereits Attacken gegeben hat, ist bislang unbekannt. Nun ist ein Hotfix erschienen. Sicherheitspatches sollen folgen.
Da sich aber ein Großteil der Modelle nicht mehr im Support befindet, bleiben diese verwundbar. Um Attacken in solchen Fällen vorzubeugen, rät Zyxel Besitzern in einer Warnmeldung dazu, die Geräte nicht direkt ans Internet zu hängen und zusätzlich mit einer Firewall zu schützen.
Für die noch im Support befindlichen Modelle NAS326, NAS520, NAS540 und NAS542 ist nun ein Hotfix erschienen. Die abgesicherte Firmware V5.21 soll im März folgen. Alle vorigen Versionen sind Zyxel zufolge angreifbar.
Attacken offensichtlich kinderleicht
Für eine erfolgreiche Attacke müssten Angreifer lediglich zwei bestimmte Zeichen in das Feld für den Nutzernamen eingeben. Dafür soll das Versenden von präparierten HTTP-POST- oder GET-Anfragen ausreichen. Aufgrund einer fehlerhaften Überprüfung könnte so Schadcode zum Webserver durchdringen. Am Ende ist davon auszugehen, dass Angreifer Schadcode mit Root-Rechten ausführen können.
Exploit aus Untergrundforum
Der IT-Security-Journalist Brian Krebs hat das Sicherheitsproblem an Zyxel gemeldet. Der Hersteller hat innerhalb von knapp 24 Stunden reagiert. Aber erst nachdem Krebs das CERT der Carnegie Mellon University kontaktiert hat. Aus einem Beitrag des CERT geht hervor, dass die Schwachstelle mit dem höchstmöglichen CVSS Score 10/10 eingestuft ist.
Der Exploit-Code soll von einem auf Zero-Days spezialisierten Händler aus einem Untergrundforum stammen. Er habe den Code für 20.000 US-Dollar angeboten, berichtet Krebs in einer Meldung. Ihm zufolge macht der Händler auch Tauschgeschäfte gegen andere Zero-Day-Exploits.
Quelle: Jetzt patchen! Zero-Day-Exploit für NAS-Produkte von Zyxel in Umlauf | heise online