[English]Gibt es ein Sicherheitsproblem beim Anbieter Zyxel? Anfang September 2024 wurden kritische Schwachstellen in Produkten gefixt. Nun ist bekannt geworden, dass Zyxel (Belgien) Opfer der Helldown Ransomware-Gruppe geworden ist. Und mir liegt eine Lesermeldung vor, dass dessen Kunden ebenfalls Opfer von Ransomware-Infektionen wurden.
Anzeige
Ich ziehe mal ein Thema hier im Blog heraus, das ich noch schlecht einschätzen kann. Denn es kann sein, dass es komplett unabhängige Ereignisse sind. Zyxel hat Anfang September 2024 kritische Schwachstellen in seinen Produkten gefixt. Nun wurde bekannt, dass es neben Zyxel weitere Ransomeware-Opfer gibt.
Schwachstellen in Zyxel-Routern
Anfang September 2024 hat Router-Anbieter Zyxel in einem Sicherheitshinweis auf Schwachstellen in seinen Routern hingewiesen.
Die Schwachstelle CVE-2024-7261
Es gibt den Sicherheitshinweis Zyxel security advisory for OS command injection vulnerability in APs and security router devices vom 3.9.2024 zur Schwachstelle CVE-2024-7261 in mehreren Versionen der Zyxel-Firmware, der es in sich hat.
Die Schwachstelle ermöglicht ein Command-Injection auf Grund einer unsachgemäßen Neutralisierung spezieller Elemente im Parameter "host" im CGI-Programm der folgenden Zyxel-Firmware-Versionen:
Anzeige
- Zyxel NWA1123ACv3-Firmware Version 6.70(ABVT.4) und früher,
- WAC500-Firmware Version 6.70(ABVS.4) und früher,
- WAX655E-Firmware Version 7.00(ACDO.1 ) und früher, WBE530 Firmware Version 7.00(ACLE.1) und früher,
- USG LITE 60AX Firmware Version V2.00(ACIP.2)
Auf Grund der Schwachstelle könnten nicht authentifizierten Angreifer Betriebssystembefehle auszuführen, indem sie ein manipuliertes Cookie an ein verwundbares Gerät senden. Da der Schwachstelle CVE-2024-7261 ein CVSS v3-Score von 9,8 ("kritisch") zugewiesen wurde, ist da "die Hütte am brennen".
Es gibt weitere Schwachstellen
Ich hatte den oben erwähnten Sachverhalt im Blog-Beitrag hier angesprochen. Aber es gibt weitere Schwachstellen, unter anderem in der Firmware der Zyxel Firewalls. Die Schwachstelle CVE-2024-6343 ermöglicht auf Grund eines Buffer-Overflow im CGI-Programm einiger Firewall-Versionen einem authentifizierten Angreifer mit Administratorrechten Denial-of-Service-Bedingungen (DoS) auszulösen. Zyxel hat die Schwachstellen in nachfolgenden Security Advisories offen gelegt.
- Zyxel security advisory for multiple vulnerabilities in firewalls
- Zyxel security advisory for buffer overflow vulnerability in some 5G NR CPE, DSL/Ethernet CPE, fiber ONT, WiFi extender, and security router devices
Für alle betroffenen Produkte gibt es Sicherheitsupdates zum Schließen der Schwachstellen. Diese Sicherheitsupdates sollten zeitnah eingespielt worden sein.
Zyxel Belgien von Helldown gehackt
Nach Adam Riese lässt sich davon ausgehen, dass Zyxel an seinen Standorten auch die eigenen Produkte (Router, Firewalls etc.) verwendet. Gestern bekam ich dann einen Hinweis, dass der Zyxel-Ableger aus Belgien gehackt worden sei.
Auf der Helldown-Leaks-Seite wird die eu-Dependance als Opfer aufgeführt. Die Ransomware-Gruppe gibt an, 253 Gbyte an Daten von Zyxel Belgien (in Mechelen angesiedelt) erbeutet zu haben.
Aktuell finden sich dort Rechnungen, Informationen zu Bonuszahlungen etc. Interessant sind halt Stücklisten von Zyxel-Produkten, die an einen bestimmten Kunden gegangen sind, oder Dokumente mit persönlichen Daten von Personen, wo Name und E-Mail-Adresse auftauchen.
Die Helldown-Ransomware-Gruppe scheint recht neu zu sein. Auf dieser Seite las ich, dass das erste Opfer erst zum 13. August 2024 auf der Leak-Seite gelistet wurde. Unter den ersten Opfern befand sich unter anderem das Ingenieursbüro Schlattner. Auch der IT-Dienstleister Hug-Witschi ist Opfer, wie ich hier gelesen habe.
Weitere Opfer? Seid ihr betroffen?
Und nun spiele ich den Ball ins Feld der Leserschaft, wo Zyxel-Produkte zum Einsatz kommen. Es gibt für mich aktuell keinen Hinweis, dass der Hack von Zyxel-Belgien mit den eingangs gelisteten Schwachstellen zusammen hängt – aber die Koinzidenz ist schon frappierend.
Gestern hat sich ein ungenannt bleiben wollender Blog-Leser gemeldet und fragte, ob ich etwas zu "einem Zyxel-Hack" wüsste. Die Quelle, die ich auf Grund früherer Meldungen für belastbar halte, schrieb mir in diesem Kontext, dass Zyxel Opfer der Helldown-Ransomware-Gruppe geworden sei. Und er habe mehre Fälle, wo Kunden mit Zyxcel -Produkten ebenfalls Opfer von Ransomware geworden sind. Von Zyxel gebe es keine Informationen.
Ich selbst habe bisher keine Informationen, die über das hinausgehen, was oben aufgeschlüsselt wurde. Auf reddit.com gibt es diesen Beitrag, der vor einem Monat bereits anspricht, dass Helldown einen Angriff auf Zyxel EU reklamiert – aber der Post hat keine Antwort erhalten.
Frage in die Runde der Leserschaft, die Zyxel-Produkte im Einsatz haben: Gibt es bei euch entsprechende Cybervorfälle? Und falls jemand von den obigen Sicherheitslücken betroffen war: Habt ihr eure Infrastruktur auf Eindringlinge überprüft? Gibt es Informationen über einen "Indicator of Compromise" (IoC)?
Anzeige
Da wir Zyxel Partner sind, haben wir viel Zyxel Produkte beim Kunden im Einsatz. Die Firewalls wurden ziemlich zeitnah aktualisiert. Im ersten Abschnitt genannte Geräte sind alles Accesspoints, die nicht so hohe Prio bei den Updates haben. Die werden aber in der Regel in abschirmten Netzwerken verwaltet. Bisher wurden uns keine besonderen Vorkommnisse gemeldet. Von Zyxel selbst gibt es keine Meldungen, die über normale Sicherheitswarnungen zu den Updates hinausgehen. Wir werden mal stichprobenartig einige Scans machen. Vielen Dank für den Hinweis und die Einordnung.
Sorry. Banhof…. Also was genau ist da gemeint (cgi , Parameter und c-injection ist klar, aber der ganze Satz), Danke:
Command-Injection auf Grund einer unsachgemäßen Neutralisierung spezieller Elemente im Parameter "host" im CGI-Programm
Weiß jemand wo überall Zyxel drin ist, aber nicht drauf steht? Ggf. irgendwelche Provider Router?
z.B. Telekom "Digitalisierungsbox Smart 2" oder auch "Digitalisierungsbox Glasfasermodem"…
ich hatte es befürchtet, vielen Dank für die info
@Leser: Spontan gab es in den letzten 10 Jahren einige Provider-Router. Nicht immer steht Zyxel dick drauf, oft zeigt's sich in Anleitung:
danke für die infos.
Ja, zeitgleich wurde bei uns ein Kunde mit Zyxel Firewall vom Helldown Virus verschlüsselt. Aktuellste Firmware war installiert. Auf Anfrage wurde gesagt, es gäbe keinerlei Zusammenhang…
Das Flagschiff der Telekom "Digitalisierungsbox Smart 2" für "Unternehmen mit bis zu 25 Mitarbeitern" übrigens auch "powered by Zyxel"
Unsere Incident-News-Platform listet zyxel.eu schon seit Agust 2024 als mit Helldown gehackt…
Laut Changelog ist die Firmware meines NWA130BE „7.00(ACIL.1)C0" ebenfalls betroffen. Die anderen Wifi7 Modelle WBE530 „7.00(ACLE.1)C0" WBE660S „7.00(ACGG.1)C0", sowie weitere ältere Modelle ebenso. Vielen Dank für den Hinweis.
Ich weis nicht ob es hier dazu passt:
Unserem Provider vielen gerade mehrere Auslandsgespräche auf. Er hat von sich aus diese derzeit gesperrt.
es ist ein Zyxel Speedlink 5501 im Einsatz …
Ich habe hier eine USG LITE 60AX (recht neues Modell) im Einsatz, ebenso einen PoE-Switch + WLAN-AP, alle via Nebula Control Center Cloud-basiert gemanagt und stets automatisch mit neuester Firmware. Siehe z. B. "Try Demo" auf https://nebula.zyxel.com. Es gab da bis vor kurzem noch ein Problem mit der Länder-Liste, sodass nur eine Negativliste funktioniert. Jetzt, dank des vorzüglichen Zyxel-Supports, habe ich eine noch neuere als die aktuell offizielle Firmware erhalten, mit der auch die Länder-Positivliste funktioniert, aus der nur IP-Datenverkehr eingehend zulässig ist, ausgehend dann zu allen (außer man blockt per Regel natürlich bestimmte IPs).
Leider kann ich aus den CVEs und den Zyxel-Infos nicht erkennen, wann und von wo aus man angreifbar war (nur Intranet, auch aus aus dem Internet?). Standardmäßig sind die Cloud-verwalteten Geräte nicht aus dem Internet administrierbar.
Ich bin ebenfalls Zyxel-Partner und habe keine besonderen Infos erhalten.
Release Notes findet man immer unter https://community.zyxel.com/en/categories/news-and-release, und als Zyxel-Nutzer sollte man sich am besten über neue Nachrichten hier automatisch per E-Mail informieren lassen.