![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Nachdem Anfang September 2024 kritische Schwachstellen in Zyxel-Produkten gefixt wurden, und Zyxel (Belgien) Opfer der Helldown-Ransomware wurde, deutet sich ein Sicherheitsproblem an. Nun hat sich ein Leser gemeldet, dessen Kunde ebenfalls eine Ransomware-Infektion \u00fcber Zyxel-Ger\u00e4te erlitt. Zyxel hat nun einen Verhaltenshinweis ver\u00f6ffentlicht. Ich fasse mal die bekannten Informationen zusammen.<\/p>\n
<\/p>\n
Die Schwachstelle erm\u00f6glicht ein Command-Injection auf Grund einer unsachgem\u00e4\u00dfen Neutralisierung spezieller Elemente im Parameter \"host\" im CGI-Programm diverser Zyxel-Firmware-Versionen. Ich hatte im Blog-Beitrag\u00a0Zyxel Security Advisory September 2024 \u2013 Schwachstellen in Routern<\/a> darauf hingewiesen.<\/p>\n Ich bin dann vor einiger Zeit von einem Blog-Leser auf Facebook darauf hingewiesen worden, dass es erstens bei Zyxel-Belgien eine Infektion durch die Helldown Ransomware gegeben hat.<\/p>\n Und der Blog-Leser schrieb mir, dass einige seiner Kunden durch Ransomware infiziert wurden (O-Ton: \"wir haben mehre F\u00e4lle wo Kunden mit Zyxcel geransomt wurden aber es gibt bei Zyxcel keine Infos\"). Ich hatte im Blog-Beitrag\u00a0Zyxel (Belgien) gehackt \u2013 Ransomware-Vorkommnisse bei euch?<\/a> dar\u00fcber berichtet.<\/p>\n Ich hatte den Ball zur Leserschaft gespielt und gefragt, ob es weitere Betroffene gebe – von obigem Leser h\u00f6rte ich, dass er auf einen Encryptor f\u00fcr seine Kunden warte. Nun hat sich ein weiterer Blog-Leser in Mails mit dem Betreff \"Erfahrungen zum Zyxel-Hack\" gemeldet\u00a0 (danke daf\u00fcr).<\/p>\n Der Leser berichtete, dass es \"letzte Woche\" (also vom 2. auf den 3. Oktober 2024) auch einen seiner Kunden (mit einer Zyxel-Firewall USG Flex 200) mit einer Ransomware-Infektion erwischt habe. Die Firmware der Zyxel Firewall war zu diesem Zeitpunkt auf dem aktuellen Stand.<\/p>\n Die Angreifer haben die Firewall mittels eines \"SUPPOR87\"-Benutzers, welcher nicht in der User\u00fcbersicht der GUI auftauchte, kompromittiert. Hier\u00fcber wurden dann drei SSL-VPNs erstellt, mit welchen die Angreifer ins Netzwerk eingedrungen sind. Ob es sich dabei um die Helldown Ransomware-Gruppe handelt, konnte der Blog-Leser nicht genau sagen.<\/p>\n Der Leser schrieb: \"Wir hatten zwar das Problem, dass die USG Flex historisch bedingt in der Dom\u00e4ne war und vermutlich dar\u00fcber der Server verschl\u00fcsselt werden konnte (sollte man also definitiv nicht so einrichten), konnten aber dank Feiertag [3. Oktober] alles ohne gr\u00f6\u00dfere Beeintr\u00e4chtigungen aus der Datensicherung wiederherstellen.\"<\/p>\n Interessant sei dabei, so der Leser, dass z.B. alte USG110-Modelle nicht betroffen sind. Vom Leser wurde die Vermutung ge\u00e4u\u00dfert, dass es eine Hersteller-Backdoor gibt, evtl. \u00fcber den User f\u00fcr die Nebula-Anbindung (die Zyxel-Cloud).<\/p>\n Der Leser schrieb: \"Der Zyxel-Support aus Taiwan war auch mehrere Tage aktiv auf der Firewall aufgeschaltet mit dem Ergebnis, dass unser (definitiv sicher gew\u00e4hltes) Passwort kompromittiert worden w\u00e4re. Klingt wie eine billige Schutzbehauptung nach den letzten Ereignissen bei Zyxel.\"<\/p>\n In einem Nachtrag schrieb mir der Blog-Leser, dass Zyxel (vermutlich basierend auf dem Hack bei den Kunden des Lesers) nun einen Artikel mit Empfehlung, alle Passw\u00f6rter zu \u00e4ndern, ver\u00f6ffentlicht habe.<\/p>\n Im Sicherheitshinweis\u00a0Zyxel USG FLEX and ATP series \u2013 Upgrading your device and ALL credentials to avoid hackers' attacks<\/a> vom 9. Oktober 2024 hei\u00dft es, dass das EMEA-Team von Zyxel die j\u00fcngsten Aktivit\u00e4ten von Bedrohungsakteuren verfolgt habe. Diese Bedrohungsakteuren h\u00e4tten es auf Zyxel Security Appliances abgesehen, die zuvor von Sicherheitsl\u00fccken betroffen waren.<\/p>\n In allen F\u00e4llen seien seitdem die Administrator-Passw\u00f6rter nicht mehr ge\u00e4ndert worden. Die Untersuchung von Zyxel habe\u00a0ergeben, dass die Bedrohungsakteure in der Lage waren, g\u00fcltige Anmeldeinformationen von fr\u00fcheren Schwachstellen zu stehlen, und dass diese Anmeldeinformationen nicht ge\u00e4ndert wurden.<\/p>\n Dadurch konnten die Angreifer SSL-VPN-Tunnel mit tempor\u00e4ren Benutzern wie \"SUPPOR87\", \"SUPPOR817\" oder \"VPN\" erstellen und die Sicherheitsrichtlinien \u00e4ndern. Dadurch konnten sie Zugriff auf das betreffende Ger\u00e4t und das Netzwerk erlangen.<\/p>\n Benutzern von Zyxel-Produkten wird empfohlen, alle Administratoren und alle Benutzerkonten (sprich die Kennw\u00f6rter) zu aktualisieren, um optimalen Schutz zu gew\u00e4hrleisten.<\/p>\n Betroffen sind ATP, USG FLEX Series-Modelle im On-Premise-Modus mit aktivierter Fernverwaltung oder SSL-VPN, zu einem beliebigen Zeitpunkt in der Vergangenheit, deren Anmeldeinformationen der Administratoren und Benutzer in der Zwischenzeit nicht aktualisiert wurden.<\/p>\n Zyxel gibt \u00e4ltere\u00a0Schwachstellen an, von denen die Firmware-Versionen ZLD V4.32 bis ZLD 5.38 betroffen waren. Umgebungen, die den\u00a0Nebula-Cloud-Management-Modus verwenden, seien nicht betroffen, hei\u00dft es.<\/p>\n Ob eine Firewall vom Angriff betroffen bzw. gef\u00e4hrdet ist, l\u00e4sst sich feststellen. Diese weist dann\u00a0SSL-VPN-Verbindungen von Benutzer(n) \u201eSUPPORT87\", \u201eSUPPOR817\", \u201eVPN\" oder einem bestehenden VPN-Benutzer, den von Unternehmen erstellt wurde, dessen Anmeldeinformationen aber kompromittiert wurden. Im Sicherheitshinweis gibt Zyxel dann Empfehlungen, wie man im Verdachtsfall vorgehen soll.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Nachdem Anfang September 2024 kritische Schwachstellen in Zyxel-Produkten gefixt wurden, und Zyxel (Belgien) Opfer der Helldown-Ransomware wurde, deutet sich ein Sicherheitsproblem an. Nun hat sich ein Leser gemeldet, dessen Kunde ebenfalls eine Ransomware-Infektion \u00fcber Zyxel-Ger\u00e4te erlitt. Zyxel hat nun einen … Weiterlesen Anfang September 2024 hat Router-Anbieter Zyxel in einem Sicherheitshinweis auf Schwachstellen in seinen Routern hingewiesen.\u00a0Es gibt den Sicherheitshinweis\u00a0Zyxel security advisory for OS command injection vulnerability in APs and security router devices<\/a>\u00a0vom 3.9.2024 zur Schwachstelle\u00a0CVE-2024-7261<\/a> in mehreren Versionen der Zyxel-Firmware, der es in sich hat.<\/p>\n
Ransomware bei Zyxel und Kunden<\/h2>\n
Ein weiterer Ransomware-Fall<\/h2>\n
Zyxel ver\u00f6ffentlich einen Hinweis<\/h2>\n