In verschiedenen Zyxel Firewall-Produkten gibt es eine kritische Authentifizierungs-Schwachstelle (CVE-2022-0342). Durch diese Sicherheitslücke wird eine Übernahme der Firewall möglich. Zyxel stellt zwar für Geräte, die noch im Support sind, Firmware-Updates bereits. Der betreffende Supportbeitrag, der erst vor wenigen Stunden Online ging, ist nun aber verschwunden.
Anzeige
Ich bin über nachfolgenden Tweet der Kollegen von heise auf den Sachverhalt aufmerksam geworden und wollte gleich nach dem Zyxel Sicherheitshinweis schauen.
Der Google Link und selbst interne Zyxel-Seiten verweisen aber auf eine inzwischen nicht mehr existierende Support-Seite. Im Google Cache findet sich aber noch der Eintrag – und auch cve.mitre.org hat hier einen entsprechenden Eintrag zu CVE-2022-0342. Es gibt eine Authentifizierungs-Schwachstelle (CVE-2022-0342) im CGI-Programm folgender Firmware-Versionen der:
- Zyxel USG/ZyWALL-Serie: Firmware-Versionen 4.20 bis 4.70
- USG FLEX-Serie: Firmware-Versionen 4.50 bis 5.20
- ATP-Serie: Firmware-Versionen 4.32 bis 5.20
- VPN-Serie : Firmware-Versionen 4.30 bis 5.20
- NSG-Serie: Firmware-Versionen V1.20 bis V1.33 Patch
Die Authentifizierungs-Schwachstelle (CVE-2022-0342) könnte es einem Angreifer ermöglichen, die Web-Authentifizierung zu umgehen und administrativen Zugriff auf das Gerät zu erhalten. Zyxel hat das Ganze in diesem Security Adversory bestätigt und stellt folgende Patches bereit:
- USG/ZyWALL: ZLD V4.71
- USG FLEX: ZLD V5.21 Patch 1
- ATP: ZLD V5.21 Patch 1
- VPN: ZLD V5.21
- NSG: Hotfix V1.33p4_WK11* verfügbar (Standard Patch V1.33 Patch 5 kommt im May 2022)
Die Updates werden vom Zyxel-Support bereitgestellt. Da Zyxel-Produkte häufig Ziel von Angriffen sind, sollte die Firmware zeitnahe aktualisiert werden. Warum der Supportartikel bei Zyxel verschwunden ist, kann ich aktuell nicht beantworten – das Release-Datum des Advisory wird mit dem 29. März 2022 angegeben.
2015
Das Releasedatum ist wirklich merkwürdig. Die 5.12.1 und 4.71 wurden am 15. released und behoben die Bootschleife. Diese Auth-Schwachstelle wurde dabei auch erwähnt. Neuere Firmware gibts nicht.
Seltsam, weil die Version 4.71 für USG ist schon seit Anfang März bei uns eingespielt und datiert von Ende Februar, siehe:
Dem oben kann ich zustimmen Updates wurden am 15. März bereits ausgerollt.
Zyxel bietet auch automatische Updates mit maximal 1 Woche Zeitunterschied dazwischen ab nach neuer zu suchen und automatisch zu Installieren.
Bislang nix weiteres mehr bekannt
Genau, dieser Fehler wurde bereits mit der ATP Firmware V5.21(ABFW.0)C0 geschlossen. Im Changelog ist folgendes zu finden:
Modifications in V5.21(ABFW.0)C0 – 2022/02/27
[On Premises mode]
1. [Vulnerability Fix]
Fix an authentication bypass vulnerability in the CGI program
2. [Vulnerability Fix]
Fix XSS (Cross Site Scripting) vulnerability
Kurz darauf kam das Bootproblem, darum ist der FIX für das CGI wohl etwas untergegangen. Fazit: alle die das Bootproblem gefixt haben, sind auch vor CVE-2022-0342 geschützt.