![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Gibt es ein Sicherheitsproblem beim Anbieter Zyxel? Anfang September 2024 wurden kritische Schwachstellen in Produkten gefixt. Nun ist bekannt geworden, dass Zyxel (Belgien) Opfer der Helldown Ransomware-Gruppe geworden ist. Und mir liegt eine Lesermeldung vor, dass dessen Kunden ebenfalls Opfer von Ransomware-Infektionen wurden.<\/p>\n
<\/p>\n
Ich ziehe mal ein Thema hier im Blog heraus, das ich noch schlecht einsch\u00e4tzen kann.\u00a0 Denn es kann sein, dass es komplett unabh\u00e4ngige Ereignisse sind. Zyxel hat Anfang September 2024 kritische Schwachstellen in seinen Produkten gefixt. Nun wurde bekannt, dass es neben Zyxel weitere Ransomeware-Opfer gibt.<\/p>\n
Anfang September 2024 hat Router-Anbieter Zyxel in einem Sicherheitshinweis auf Schwachstellen in seinen Routern hingewiesen.<\/p>\n
Es gibt den Sicherheitshinweis Zyxel security advisory for OS command injection vulnerability in APs and security router devices<\/a> vom 3.9.2024 zur Schwachstelle CVE-2024-7261<\/a> in mehreren Versionen der Zyxel-Firmware, der es in sich hat.<\/p>\n Die Schwachstelle erm\u00f6glicht ein Command-Injection auf Grund einer unsachgem\u00e4\u00dfen Neutralisierung spezieller Elemente im Parameter \"host\" im CGI-Programm der folgenden Zyxel-Firmware-Versionen:<\/p>\n Auf Grund der Schwachstelle k\u00f6nnten nicht authentifizierten Angreifer Betriebssystembefehle auszuf\u00fchren, indem sie ein manipuliertes Cookie an ein verwundbares Ger\u00e4t senden. Da der Schwachstelle CVE-2024-7261<\/a> ein CVSS v3-Score von 9,8 (\"kritisch\") zugewiesen wurde, ist da \"die H\u00fctte am brennen\".<\/p>\n Ich hatte den oben erw\u00e4hnten Sachverhalt im Blog-Beitrag hier<\/a> angesprochen. Aber es gibt weitere Schwachstellen, unter anderem in der Firmware der Zyxel Firewalls. Die Schwachstelle CVE-2024-6343 erm\u00f6glicht auf Grund eines Buffer-Overflow im CGI-Programm einiger Firewall-Versionen einem authentifizierten Angreifer mit Administratorrechten Denial-of-Service-Bedingungen (DoS) auszul\u00f6sen.\u00a0Zyxel hat die Schwachstellen in nachfolgenden Security Advisories offen gelegt.<\/p>\n F\u00fcr alle betroffenen Produkte gibt es Sicherheitsupdates zum Schlie\u00dfen der Schwachstellen. Diese Sicherheitsupdates sollten zeitnah eingespielt worden sein.<\/p>\n Nach Adam Riese l\u00e4sst sich davon ausgehen, dass Zyxel an seinen Standorten auch die eigenen Produkte (Router, Firewalls etc.) verwendet. Gestern bekam ich dann einen Hinweis, dass der Zyxel-Ableger aus Belgien gehackt worden sei.<\/p>\n Auf der Helldown-Leaks-Seite wird die eu-Dependance als Opfer aufgef\u00fchrt. Die Ransomware-Gruppe gibt an, 253 Gbyte an Daten von Zyxel Belgien (in Mechelen angesiedelt) erbeutet zu haben.<\/p>\n Aktuell finden sich dort Rechnungen, Informationen zu Bonuszahlungen etc. Interessant sind halt St\u00fccklisten von Zyxel-Produkten, die an einen bestimmten Kunden gegangen sind, oder Dokumente mit pers\u00f6nlichen Daten von Personen, wo Name und E-Mail-Adresse auftauchen.<\/p>\n Die Helldown-Ransomware-Gruppe scheint recht neu zu sein. Auf dieser Seite<\/a> las ich, dass das erste Opfer erst zum 13. August 2024 auf der Leak-Seite gelistet wurde. Unter den ersten Opfern befand sich unter anderem das Ingenieursb\u00fcro Schlattner. Auch der IT-Dienstleister Hug-Witschi ist Opfer, wie ich hier<\/a> gelesen habe.<\/span><\/p>\n Und nun spiele ich den Ball ins Feld der Leserschaft, wo Zyxel-Produkte zum Einsatz kommen. Es gibt f\u00fcr mich aktuell keinen Hinweis, dass der Hack von Zyxel-Belgien mit den eingangs gelisteten Schwachstellen zusammen h\u00e4ngt – aber die Koinzidenz ist schon frappierend.<\/p>\n Gestern hat sich ein ungenannt bleiben wollender Blog-Leser gemeldet und fragte, ob ich etwas zu \"einem Zyxel-Hack\" w\u00fcsste. Die Quelle, die ich auf Grund fr\u00fcherer Meldungen f\u00fcr belastbar halte, schrieb mir in diesem Kontext, dass Zyxel Opfer der Helldown-Ransomware-Gruppe geworden sei. Und er habe\u00a0mehre F\u00e4lle, wo Kunden mit Zyxcel -Produkten ebenfalls Opfer von Ransomware geworden sind. Von Zyxel gebe es keine Informationen.<\/p>\n Ich selbst habe bisher keine Informationen, die \u00fcber das hinausgehen, was oben aufgeschl\u00fcsselt wurde. Auf reddit.com gibt es diesen Beitrag<\/a>, der vor einem Monat bereits anspricht, dass Helldown einen Angriff auf Zyxel EU reklamiert – aber der Post hat keine Antwort erhalten.<\/p>\n Frage in die Runde der Leserschaft, die Zyxel-Produkte im Einsatz haben: Gibt es bei euch entsprechende Cybervorf\u00e4lle? Und falls jemand von den obigen Sicherheitsl\u00fccken betroffen war: Habt ihr eure Infrastruktur auf Eindringlinge \u00fcberpr\u00fcft? Gibt es Informationen \u00fcber einen \"Indicator of Compromise\" (IoC)?<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Gibt es ein Sicherheitsproblem beim Anbieter Zyxel? Anfang September 2024 wurden kritische Schwachstellen in Produkten gefixt. Nun ist bekannt geworden, dass Zyxel (Belgien) Opfer der Helldown Ransomware-Gruppe geworden ist. Und mir liegt eine Lesermeldung vor, dass dessen Kunden ebenfalls Opfer … Weiterlesen \n
Es gibt weitere Schwachstellen<\/h3>\n
\n
Zyxel Belgien von Helldown gehackt<\/h2>\n
![\"Helldown](\"https:\/\/i.postimg.cc\/CM7yPz7s\/image.png\")
<\/p>\nWeitere Opfer? Seid ihr betroffen?<\/h2>\n