{"id":228702,"date":"2020-02-25T00:04:00","date_gmt":"2020-02-24T23:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228702"},"modified":"2022-09-26T01:50:27","modified_gmt":"2022-09-25T23:50:27","slug":"schwachstelle-cve-2020-9054-in-zyxel-nas-modellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/25\/schwachstelle-cve-2020-9054-in-zyxel-nas-modellen\/","title":{"rendered":"Schwachstelle CVE-2020-9054 in ZyXEL NAS-Modellen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/02\/25\/vulnerability-cve-2020-9054-in-zyxel-nas-devices\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Zyxel hat eine 0-Day Schwachstelle in seinen NAS-Ger\u00e4ten durch ein Firmware-Update geschlossen hat. Ein Exploit-Code f\u00fcr die Schwachstelle wird aktuell in Untergrundforen f\u00fcr 20.000 Dollar verkauft.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/3cd6c2c736654f6398d4077833a20b33\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber den nachfolgenden Tweet von Will Dormann auf das Sicherheitsproblem aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Multiple ZyXEL NAS devices are vulnerable to pre-authentication command injection using the web administration interface &#8211; CVE-2020-9054<br \/>\nExecuted commands may leverage built-in capabilities to execute commands with root privileges.<a href=\"https:\/\/t.co\/aaZj3I1czq\">https:\/\/t.co\/aaZj3I1czq<\/a><\/p>\n<p>\u2014 Will Dormann (@wdormann) <a href=\"https:\/\/twitter.com\/wdormann\/status\/1231987991473602561?ref_src=twsrc%5Etfw\">February 24, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Am 24.2.2020 wurde <a href=\"https:\/\/www.kb.cert.org\/vuls\/id\/498544\/\" target=\"_blank\" rel=\"noopener noreferrer\">diese Sicherheitswarnung<\/a> zu verschiedenen Zyxel-NAS-Modellen ver\u00f6ffentlicht. Mehrere NAS-Ger\u00e4te (Network-Attached Storage) von ZyXEL enthalten eine Pre-Authentication Command Injection-Schwachstelle, die es einem Remote-Angreifer ohne Anmeldung erm\u00f6glichen k\u00f6nnte, beliebigen Code auf einem verwundbaren Ger\u00e4t auszuf\u00fchren.<\/p>\n<p>NAS-Ger\u00e4te von ZyXEL erm\u00f6glichen eine Authentifizierung durch die Verwendung der ausf\u00fchrbaren CGI-Datei <em>weblogin.cgi<\/em>. Dieses CGI-Programm kann aber den Benutzernamen-Parameter, der ihm \u00fcbergeben wird, nicht ordnungsgem\u00e4\u00df verarbeiten. Enth\u00e4lt der Parameter bestimmte mit dem Benutzernamen bestimmte Zeichen, kann dies eine Befehlsinjektion mit den Privilegien des Webservers, der auf dem ZyXEL-Ger\u00e4t l\u00e4uft, erm\u00f6glichen.<\/p>\n<p>Obwohl der Webserver nicht als Root-Benutzer l\u00e4uft, enthalten die ZyXEL-Ger\u00e4te ein setuid-Dienstprogramm, das zur Ausf\u00fchrung beliebiger Befehle mit Root-Rechten genutzt werden kann. Daher ist davon auszugehen, dass die Ausnutzung dieser Schwachstelle zur Remote-Codeausf\u00fchrung mit Root-Rechten f\u00fchren kann.<\/p>\n<p>Durch Senden einer speziell erstellten HTTP-POST- oder GET-Anfrage an ein anf\u00e4lliges ZyXEL-Ger\u00e4t kann ein entfernter, nicht authentifizierter Angreifer m\u00f6glicherweise beliebigen Code auf dem Ger\u00e4t ausf\u00fchren. Dies kann durch eine Verbindung zu einem Ger\u00e4t geschehen, wenn der Angreifer Zugriff auf das Ger\u00e4t hat. Es gibt jedoch M\u00f6glichkeiten, solche pr\u00e4parierten Anfragen auszul\u00f6sen, selbst wenn ein Angreifer keine direkte Verbindung zu einem verwundbaren Ger\u00e4t hat. Zum Beispiel kann der einfache Besuch einer Website zur Kompromittierung eines beliebigen ZyXEL-Ger\u00e4ts f\u00fchren, das vom Client-System aus erreichbar ist.<\/p>\n<p>ZyXEL hat <a href=\"https:\/\/web.archive.org\/web\/20220304050810\/https:\/\/www.zyxel.com\/support\/remote-code-execution-vulnerability-of-NAS-products.shtml\" target=\"_blank\" rel=\"noopener noreferrer\">Firmware-Updates<\/a> f\u00fcr die Ger\u00e4te NAS326, NAS520, NAS540 und NAS542 zur Verf\u00fcgung gestellt. Besitzer von NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 und NSA325v2 k\u00f6nnen keine Firmware-Updates installieren, da diese Ger\u00e4te nicht mehr unterst\u00fctzt werden.<\/p>\n<p>Bei der Aktualisierung der Firmware auf den betroffenen Ger\u00e4ten ist Vorsicht geboten. Denn der ZyXEL-Firmware-Upgrade-Prozess verwendet einerseits einen unsicheren Kanal (FTP) zum Abrufen von Updates verwendet. Andererseits werden die Firmware-Dateien nur durch eine Pr\u00fcfsumme und nicht durch eine kryptografische Signatur verifiziert. Aus diesen Gr\u00fcnden kann jeder Angreifer, der die Kontrolle \u00fcber DNS oder IP-Routing hat, die Installation einer b\u00f6sartigen Firmware auf einem ZyXEL-Ger\u00e4t veranlassen.<\/p>\n<p>Wer nicht patchen kann, der sollte <a href=\"https:\/\/www.kb.cert.org\/vuls\/id\/498544\/\" target=\"_blank\" rel=\"noopener noreferrer\">Workarounds zur Absicherung<\/a> einsetzen. Dieses Problem kann durch die Blockierung (z.B. mit einer Firewall) des Zugriffs auf die Web-Schnittstelle (80\/tcp und 443\/tcp) eines anf\u00e4lligen ZyXEL-Ger\u00e4ts gemildert werden. Jedes Ger\u00e4t, das auf die Web-Schnittstelle von ZyXEL zugreifen kann, sollte nicht auch auf das Internet zugreifen k\u00f6nnen.<\/p>\n<p>Brian Krebs hat in <a href=\"https:\/\/krebsonsecurity.com\/2020\/02\/zyxel-fixes-0day-in-network-storage-devices\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> noch einige Informationen zu diesem Fall ver\u00f6ffentlicht. So hat er Zyxel gemeldet, dass ein 0-day Exploit in Umlauf sei und f\u00fcr 20.000 US $ verkauft werden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Networking hardware vendor Zyxel has patched a zero-day bug in its NAS devices. The patch comes 12 days after KrebsOnSecurity told the company exploit code for the flaw was being sold for $20k. Ransomware gangs are now reportedly adding it to their arsenal <a href=\"https:\/\/t.co\/v60s7kCm18\">https:\/\/t.co\/v60s7kCm18<\/a> <a href=\"https:\/\/t.co\/YDLUYX5Mig\">pic.twitter.com\/YDLUYX5Mig<\/a><\/p>\n<p>\u2014 briankrebs (@briankrebs) <a href=\"https:\/\/twitter.com\/briankrebs\/status\/1231991950150193153?ref_src=twsrc%5Etfw\">February 24, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Zyxel hat eine 0-Day Schwachstelle in seinen NAS-Ger\u00e4ten durch ein Firmware-Update geschlossen hat. Ein Exploit-Code f\u00fcr die Schwachstelle wird aktuell in Untergrundforen f\u00fcr 20.000 Dollar verkauft.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,930,4328],"class_list":["post-228702","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-nas","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228702","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228702"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228702\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228702"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228702"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228702"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}