[English]In vielen Zyxel-Produkten (Firewalls) gibt es eine Schwachstelle CVE-2020-29583 in Form eines undokumentierten Benutzers. Der Hersteller hat inzwischen Firmware-Updates zum Beseitigen der Schwachstelle veröffentlicht.
Anzeige
Entdeckt hat dies Niels Teusink, der das Ganze am 23. Dezember 2020 in diesem Blog-Beitrag öffentlich gemacht hat. Ich bin vor einigen Tagen über nachfolgenden Tweet auf das Thema aufmerksam geworden.
Betroffen sind Nutzer von Zyxel USG, ATP, VPN, ZyWALL oder USG FLEX gemäß folgender Aufstellung:
- Firewalls der ATP-, USG-, USG-Flex- und VPN-Serie der Firmware Serie ZLD4.60
- AP controller der NXC2500 und NXC5500 Serie der Firmeware V6.00 bis V6.10
Die vollständige Liste der betroffenen Geräte finden Sie hier und im Zyxel-Sicherheitshinweis. Für seine Firewalls hat Zyxel bereits im Dezember 2020 Firmware-Updates bereitgestellt. Für die AP-Controller soll es im April 2021 Firmware-Updates gegeben. Details sind in den verlinkten Artikeln nachzulesen.
Anzeige
Ergänzung: Von Zyxel habe ich die Information erhalten, dass für die abgesicherte Firmware ZLD 4.60 bereits ein erster Patch1 im Dezember 2020 erschienen ist und für die Access-Point-Controller NXC2500 und NXC5500 mit der Firmware V6.10 am 8. Januar 2021 ein Patch freigegeben wird.
Anzeige
Wie ist das bei der Fritz.Box? Eine zweite IP-Adresse gibt es.
Undokumentierter Nutzer oder eine Hintertür.
Achtung die Begründung:
"The account was designed to deliver automatic firmware updates to connected access points through FTP."
… wtf?
Ja im geschäftlichen Umfeld gibt es noch sehr viele FTP Verbindungen, doch die gehen quasi immer über sichere VPN oder SSL Tunnel. Und neu implementiert man sowas eigentlich auch nicht mehr.