Ransomware-Befall über Zyxel-Geräte: Neuer Fall und Erkenntnisse

[English]Nachdem Anfang September 2024 kritische Schwachstellen in Zyxel-Produkten gefixt wurden, und Zyxel (Belgien) Opfer der Helldown-Ransomware wurde, deutet sich ein Sicherheitsproblem an. Nun hat sich ein Leser gemeldet, dessen Kunde ebenfalls eine Ransomware-Infektion über Zyxel-Geräte erlitt. Zyxel hat nun einen Verhaltenshinweis veröffentlicht. Ich fasse mal die bekannten Informationen zusammen.

Schwachstellen bei Zyxel-Produkten

Anfang September 2024 hat Router-Anbieter Zyxel in einem Sicherheitshinweis auf Schwachstellen in seinen Routern hingewiesen. Es gibt den Sicherheitshinweis Zyxel security advisory for OS command injection vulnerability in APs and security router devices vom 3.9.2024 zur Schwachstelle CVE-2024-7261 in mehreren Versionen der Zyxel-Firmware, der es in sich hat.

Die Schwachstelle ermöglicht ein Command-Injection auf Grund einer unsachgemäßen Neutralisierung spezieller Elemente im Parameter "host" im CGI-Programm diverser Zyxel-Firmware-Versionen. Ich hatte im Blog-Beitrag Zyxel Security Advisory September 2024 – Schwachstellen in Routern darauf hingewiesen.

Ransomware bei Zyxel und Kunden

Ich bin dann vor einiger Zeit von einem Blog-Leser auf Facebook darauf hingewiesen worden, dass es erstens bei Zyxel-Belgien eine Infektion durch die Helldown Ransomware gegeben hat.

Und der Blog-Leser schrieb mir, dass einige seiner Kunden durch Ransomware infiziert wurden (O-Ton: "wir haben mehre Fälle wo Kunden mit Zyxcel geransomt wurden aber es gibt bei Zyxcel keine Infos"). Ich hatte im Blog-Beitrag Zyxel (Belgien) gehackt – Ransomware-Vorkommnisse bei euch? darüber berichtet.

Ein weiterer Ransomware-Fall

Ich hatte den Ball zur Leserschaft gespielt und gefragt, ob es weitere Betroffene gebe – von obigem Leser hörte ich, dass er auf einen Encryptor für seine Kunden warte. Nun hat sich ein weiterer Blog-Leser in Mails mit dem Betreff "Erfahrungen zum Zyxel-Hack" gemeldet  (danke dafür).

Der Leser berichtete, dass es "letzte Woche" (also vom 2. auf den 3. Oktober 2024) auch einen seiner Kunden (mit einer Zyxel-Firewall USG Flex 200) mit einer Ransomware-Infektion erwischt habe. Die Firmware der Zyxel Firewall war zu diesem Zeitpunkt auf dem aktuellen Stand.

Die Angreifer haben die Firewall mittels eines "SUPPOR87"-Benutzers, welcher nicht in der Userübersicht der GUI auftauchte, kompromittiert. Hierüber wurden dann drei SSL-VPNs erstellt, mit welchen die Angreifer ins Netzwerk eingedrungen sind. Ob es sich dabei um die Helldown Ransomware-Gruppe handelt, konnte der Blog-Leser nicht genau sagen.

Der Leser schrieb: "Wir hatten zwar das Problem, dass die USG Flex historisch bedingt in der Domäne war und vermutlich darüber der Server verschlüsselt werden konnte (sollte man also definitiv nicht so einrichten), konnten aber dank Feiertag [3. Oktober] alles ohne größere Beeinträchtigungen aus der Datensicherung wiederherstellen."

Interessant sei dabei, so der Leser, dass z.B. alte USG110-Modelle nicht betroffen sind. Vom Leser wurde die Vermutung geäußert, dass es eine Hersteller-Backdoor gibt, evtl. über den User für die Nebula-Anbindung (die Zyxel-Cloud).

Der Leser schrieb: "Der Zyxel-Support aus Taiwan war auch mehrere Tage aktiv auf der Firewall aufgeschaltet mit dem Ergebnis, dass unser (definitiv sicher gewähltes) Passwort kompromittiert worden wäre. Klingt wie eine billige Schutzbehauptung nach den letzten Ereignissen bei Zyxel."

Zyxel veröffentlich einen Hinweis

In einem Nachtrag schrieb mir der Blog-Leser, dass Zyxel (vermutlich basierend auf dem Hack bei den Kunden des Lesers) nun einen Artikel mit Empfehlung, alle Passwörter zu ändern, veröffentlicht habe.

Im Sicherheitshinweis Zyxel USG FLEX and ATP series – Upgrading your device and ALL credentials to avoid hackers' attacks vom 9. Oktober 2024 heißt es, dass das EMEA-Team von Zyxel die jüngsten Aktivitäten von Bedrohungsakteuren verfolgt habe. Diese Bedrohungsakteuren hätten es auf Zyxel Security Appliances abgesehen, die zuvor von Sicherheitslücken betroffen waren.

In allen Fällen seien seitdem die Administrator-Passwörter nicht mehr geändert worden. Die Untersuchung von Zyxel habe ergeben, dass die Bedrohungsakteure in der Lage waren, gültige Anmeldeinformationen von früheren Schwachstellen zu stehlen, und dass diese Anmeldeinformationen nicht geändert wurden.

Dadurch konnten die Angreifer SSL-VPN-Tunnel mit temporären Benutzern wie "SUPPOR87", "SUPPOR817" oder "VPN" erstellen und die Sicherheitsrichtlinien ändern. Dadurch konnten sie Zugriff auf das betreffende Gerät und das Netzwerk erlangen.

Benutzern von Zyxel-Produkten wird empfohlen, alle Administratoren und alle Benutzerkonten (sprich die Kennwörter) zu aktualisieren, um optimalen Schutz zu gewährleisten.

Betroffen sind ATP, USG FLEX Series-Modelle im On-Premise-Modus mit aktivierter Fernverwaltung oder SSL-VPN, zu einem beliebigen Zeitpunkt in der Vergangenheit, deren Anmeldeinformationen der Administratoren und Benutzer in der Zwischenzeit nicht aktualisiert wurden.

Zyxel gibt ältere Schwachstellen an, von denen die Firmware-Versionen ZLD V4.32 bis ZLD 5.38 betroffen waren. Umgebungen, die den Nebula-Cloud-Management-Modus verwenden, seien nicht betroffen, heißt es.

Ob eine Firewall vom Angriff betroffen bzw. gefährdet ist, lässt sich feststellen. Diese weist dann SSL-VPN-Verbindungen von Benutzer(n) „SUPPORT87", „SUPPOR817", „VPN" oder einem bestehenden VPN-Benutzer, den von Unternehmen erstellt wurde, dessen Anmeldeinformationen aber kompromittiert wurden. Im Sicherheitshinweis gibt Zyxel dann Empfehlungen, wie man im Verdachtsfall vorgehen soll.