Zyxel schließt schwer- wiegende Lücke in VPN- und Firewall-Produkten

Stefan Beiersmann,
Computer Bug Poodle (Quelle: ZDNet.com)

Sie erlaubt eine Remotecodeausführung. Eine vorherige Authentifizierung ist nicht erforderlich. Zyxel veröffentlicht seinen Patch stillschweigend.

Der Sicherheitsanbieter Rapid7 hat eine kritische Sicherheitslücke in Firewalls von Zyxel öffentlich gemacht. Ein nicht authentifizierter Nutzer ist in der Lage, aus der Ferne Schadcode einzuschleusen und auszuführen.

Auslöser ist offenbar ein Programmierfehler: Eingaben in zwei Felder werden laut Rapid7 nicht geprüft, bevor sie an Systemaufrufe weitergegeben werden. Betroffen sind die VPN- und ATP-Serien, sowie die Modelle USG 100(W), 200, 500, 700 sowie Flex 50(W)/USG20(W)-VPN.

Während Rapid7 Ende vergangener Woche von rund 15.000 angreifbaren Geräten ausging, erhöhte die Shadowserver Foundation diese Zahl am Wochenende auf mehr als 20.800. In beiden Fällen diente die Gerätesuchmaschien Shodan als Quelle.

Hacker nutzen die Schwachstelle bereits aktiv aus

“Die häufigsten Modelle sind USG20-VPN (10.000 IP-Adressen) und USG20W-VPN (5700 IP-Adressen). Die meisten der von CVE-2022-30525 betroffenen Modelle befinden sich in der EU – Frankreich (4500) und Italien (4400)”, twitterte Shadowserver.

Die Shadowserver Foundation stellte zudem fest, dass die Schwachstelle seit dem 13. Mai aktiv ausgenutzt wird. Sie forderte Nutzer auf, die von Zyxel angebotenen Patches unverzüglich zu installieren.

Rapid7 informierte Zyxel bereits am 13. April über das Sicherheitsproblem. Der taiwanische Gerätehersteller veröffentlichte seinen Patch am 28. April, ohne jedoch Rapid7 darüber zu informieren. Die Verfügbarkeit eines Updates bemerkte der Sicherheitsanbieter nach eigenen Angaben erst am 9. Mai.

“Die Patch-Veröffentlichung ist gleichbedeutend mit der Veröffentlichung von Details der Schwachstelle, da Angreifer und Forscher den Patch auf triviale Weise umkehren können, um genaue Details über die Ausnutzung zu erfahren, während Verteidiger sich selten die Mühe machen, dies zu tun”, schreibt der Rapid7-Forscher Jake Baines.

“Aus diesem Grund veröffentlichen wir diese Meldung frühzeitig, um Verteidigern bei der Erkennung von Sicherheitslücken zu helfen und ihnen die Entscheidung zu erleichtern, wann sie diesen Fix in ihren eigenen Umgebungen entsprechend ihrer Risikotoleranz anwenden sollten. Mit anderen Worten: Das stille Patchen von Schwachstellen hilft nur aktiven Angreifern und lässt Verteidiger im Unklaren über das wahre Risiko neu entdeckter Probleme.”

Zyxel zufolge handelte es sich um einen Kommunikationsfehler im Rahmen der koordinierten Offenlegung der Schwachstelle. Man befolge grundsätzlich die Regeln für eine koordinierte Offenlegung.