Zyxel (Belgien) gehackt – Ransomware-Vorkommnisse bei euch?

Publiziert am 1. Oktober 2024 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Gibt es ein Sicherheitsproblem beim Anbieter Zyxel? Anfang September 2024 wurden kritische Schwachstellen in Produkten gefixt. Nun ist bekannt geworden, dass Zyxel (Belgien) Opfer der Helldown Ransomware-Gruppe geworden ist. Und mir liegt eine Lesermeldung vor, dass dessen Kunden ebenfalls Opfer von Ransomware-Infektionen wurden.

Anzeige

Ich ziehe mal ein Thema hier im Blog heraus, das ich noch schlecht einschätzen kann.  Denn es kann sein, dass es komplett unabhängige Ereignisse sind. Zyxel hat Anfang September 2024 kritische Schwachstellen in seinen Produkten gefixt. Nun wurde bekannt, dass es neben Zyxel weitere Ransomeware-Opfer gibt.

Schwachstellen in Zyxel-Routern

Anfang September 2024 hat Router-Anbieter Zyxel in einem Sicherheitshinweis auf Schwachstellen in seinen Routern hingewiesen.

Die Schwachstelle CVE-2024-7261

Es gibt den Sicherheitshinweis Zyxel security advisory for OS command injection vulnerability in APs and security router devices vom 3.9.2024 zur Schwachstelle CVE-2024-7261 in mehreren Versionen der Zyxel-Firmware, der es in sich hat.

Die Schwachstelle ermöglicht ein Command-Injection auf Grund einer unsachgemäßen Neutralisierung spezieller Elemente im Parameter "host" im CGI-Programm der folgenden Zyxel-Firmware-Versionen:

Anzeige
  • Zyxel NWA1123ACv3-Firmware Version 6.70(ABVT.4) und früher,
  • WAC500-Firmware Version 6.70(ABVS.4) und früher,
  • WAX655E-Firmware Version 7.00(ACDO.1 ) und früher, WBE530 Firmware Version 7.00(ACLE.1) und früher,
  • USG LITE 60AX Firmware Version V2.00(ACIP.2)

Auf Grund der Schwachstelle könnten nicht authentifizierten Angreifer Betriebssystembefehle auszuführen, indem sie ein manipuliertes Cookie an ein verwundbares Gerät senden. Da der Schwachstelle CVE-2024-7261 ein CVSS v3-Score von 9,8 ("kritisch") zugewiesen wurde, ist da "die Hütte am brennen".

Es gibt weitere Schwachstellen

Ich hatte den oben erwähnten Sachverhalt im Blog-Beitrag hier angesprochen. Aber es gibt weitere Schwachstellen, unter anderem in der Firmware der Zyxel Firewalls. Die Schwachstelle CVE-2024-6343 ermöglicht auf Grund eines Buffer-Overflow im CGI-Programm einiger Firewall-Versionen einem authentifizierten Angreifer mit Administratorrechten Denial-of-Service-Bedingungen (DoS) auszulösen. Zyxel hat die Schwachstellen in nachfolgenden Security Advisories offen gelegt.

Für alle betroffenen Produkte gibt es Sicherheitsupdates zum Schließen der Schwachstellen. Diese Sicherheitsupdates sollten zeitnah eingespielt worden sein.

Zyxel Belgien von Helldown gehackt

Nach Adam Riese lässt sich davon ausgehen, dass Zyxel an seinen Standorten auch die eigenen Produkte (Router, Firewalls etc.) verwendet. Gestern bekam ich dann einen Hinweis, dass der Zyxel-Ableger aus Belgien gehackt worden sei.

Helldown Ransomware victims

Auf der Helldown-Leaks-Seite wird die eu-Dependance als Opfer aufgeführt. Die Ransomware-Gruppe gibt an, 253 Gbyte an Daten von Zyxel Belgien (in Mechelen angesiedelt) erbeutet zu haben.

Aktuell finden sich dort Rechnungen, Informationen zu Bonuszahlungen etc. Interessant sind halt Stücklisten von Zyxel-Produkten, die an einen bestimmten Kunden gegangen sind, oder Dokumente mit persönlichen Daten von Personen, wo Name und E-Mail-Adresse auftauchen.

Die Helldown-Ransomware-Gruppe scheint recht neu zu sein. Auf dieser Seite las ich, dass das erste Opfer erst zum 13. August 2024 auf der Leak-Seite gelistet wurde. Unter den ersten Opfern befand sich unter anderem das Ingenieursbüro Schlattner. Auch der IT-Dienstleister Hug-Witschi ist Opfer, wie ich hier gelesen habe.

Weitere Opfer? Seid ihr betroffen?

Und nun spiele ich den Ball ins Feld der Leserschaft, wo Zyxel-Produkte zum Einsatz kommen. Es gibt für mich aktuell keinen Hinweis, dass der Hack von Zyxel-Belgien mit den eingangs gelisteten Schwachstellen zusammen hängt – aber die Koinzidenz ist schon frappierend.

Gestern hat sich ein ungenannt bleiben wollender Blog-Leser gemeldet und fragte, ob ich etwas zu "einem Zyxel-Hack" wüsste. Die Quelle, die ich auf Grund früherer Meldungen für belastbar halte, schrieb mir in diesem Kontext, dass Zyxel Opfer der Helldown-Ransomware-Gruppe geworden sei. Und er habe mehre Fälle, wo Kunden mit Zyxcel -Produkten ebenfalls Opfer von Ransomware geworden sind. Von Zyxel gebe es keine Informationen.

Ich selbst habe bisher keine Informationen, die über das hinausgehen, was oben aufgeschlüsselt wurde. Auf reddit.com gibt es diesen Beitrag, der vor einem Monat bereits anspricht, dass Helldown einen Angriff auf Zyxel EU reklamiert – aber der Post hat keine Antwort erhalten.

Frage in die Runde der Leserschaft, die Zyxel-Produkte im Einsatz haben: Gibt es bei euch entsprechende Cybervorfälle? Und falls jemand von den obigen Sicherheitslücken betroffen war: Habt ihr eure Infrastruktur auf Eindringlinge überprüft? Gibt es Informationen über einen "Indicator of Compromise" (IoC)?

Anzeige
Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.