Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen

[English]Zyxel hat eine 0-Day Schwachstelle in seinen NAS-Geräten durch ein Firmware-Update geschlossen hat. Ein Exploit-Code für die Schwachstelle wird aktuell in Untergrundforen für 20.000 Dollar verkauft.


Anzeige

Ich bin über den nachfolgenden Tweet von Will Dormann auf das Sicherheitsproblem aufmerksam geworden.

Am 24.2.2020 wurde diese Sicherheitswarnung zu verschiedenen Zyxel-NAS-Modellen veröffentlicht. Mehrere NAS-Geräte (Network-Attached Storage) von ZyXEL enthalten eine Pre-Authentication Command Injection-Schwachstelle, die es einem Remote-Angreifer ohne Anmeldung ermöglichen könnte, beliebigen Code auf einem verwundbaren Gerät auszuführen.

NAS-Geräte von ZyXEL ermöglichen eine Authentifizierung durch die Verwendung der ausführbaren CGI-Datei weblogin.cgi. Dieses CGI-Programm kann aber den Benutzernamen-Parameter, der ihm übergeben wird, nicht ordnungsgemäß verarbeiten. Enthält der Parameter bestimmte mit dem Benutzernamen bestimmte Zeichen, kann dies eine Befehlsinjektion mit den Privilegien des Webservers, der auf dem ZyXEL-Gerät läuft, ermöglichen.


Anzeige

Obwohl der Webserver nicht als Root-Benutzer läuft, enthalten die ZyXEL-Geräte ein setuid-Dienstprogramm, das zur Ausführung beliebiger Befehle mit Root-Rechten genutzt werden kann. Daher ist davon auszugehen, dass die Ausnutzung dieser Schwachstelle zur Remote-Codeausführung mit Root-Rechten führen kann.

Durch Senden einer speziell erstellten HTTP-POST- oder GET-Anfrage an ein anfälliges ZyXEL-Gerät kann ein entfernter, nicht authentifizierter Angreifer möglicherweise beliebigen Code auf dem Gerät ausführen. Dies kann durch eine Verbindung zu einem Gerät geschehen, wenn der Angreifer Zugriff auf das Gerät hat. Es gibt jedoch Möglichkeiten, solche präparierten Anfragen auszulösen, selbst wenn ein Angreifer keine direkte Verbindung zu einem verwundbaren Gerät hat. Zum Beispiel kann der einfache Besuch einer Website zur Kompromittierung eines beliebigen ZyXEL-Geräts führen, das vom Client-System aus erreichbar ist.

ZyXEL hat Firmware-Updates für die Geräte NAS326, NAS520, NAS540 und NAS542 zur Verfügung gestellt. Besitzer von NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 und NSA325v2 können keine Firmware-Updates installieren, da diese Geräte nicht mehr unterstützt werden.

Bei der Aktualisierung der Firmware auf den betroffenen Geräten ist Vorsicht geboten. Denn der ZyXEL-Firmware-Upgrade-Prozess verwendet einerseits einen unsicheren Kanal (FTP) zum Abrufen von Updates verwendet. Andererseits werden die Firmware-Dateien nur durch eine Prüfsumme und nicht durch eine kryptografische Signatur verifiziert. Aus diesen Gründen kann jeder Angreifer, der die Kontrolle über DNS oder IP-Routing hat, die Installation einer bösartigen Firmware auf einem ZyXEL-Gerät veranlassen.

Wer nicht patchen kann, der sollte Workarounds zur Absicherung einsetzen. Dieses Problem kann durch die Blockierung (z.B. mit einer Firewall) des Zugriffs auf die Web-Schnittstelle (80/tcp und 443/tcp) eines anfälligen ZyXEL-Geräts gemildert werden. Jedes Gerät, das auf die Web-Schnittstelle von ZyXEL zugreifen kann, sollte nicht auch auf das Internet zugreifen können.

Brian Krebs hat in diesem Artikel noch einige Informationen zu diesem Fall veröffentlicht. So hat er Zyxel gemeldet, dass ein 0-day Exploit in Umlauf sei und für 20.000 US $ verkauft werden.


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen

  1. Dat Bundesferkel sagt:

    Ist bekannt, ob derselbe (oder ein vergleichbarer) Angriff auch auf die Weboberfläche der ZyXEL Switches erfolgen kann?

  2. Mario sagt:

    Hallo

    Habe gerade per Zufall bemerkt, dass die USG / ATP Firewalls von dem Problem auch betroffen sind.
    https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
    Wäre vieleicht ein Update wert, da die NAS Boxen eher selten sind, die Firewalls aber häufiger verwendet werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.