Kritisches Sicherheitsupdate (24. Mai 2023) für alle Zyxel-Firewall-Produkte – Angriffe laufen bereits

Sicherheit (Pexels, allgemeine Nutzung)[English]Der taiwanesische Hersteller Zyxel hat ein sehr kritisches Security Update für sämtliche Security Produkte veröffentlicht. Die Sicherheitswarnung gibt an, dass gleich mehrere Buffer Overflow-Schwachstellen (CVE-2023-33009, CVE-2023-33010) betroffen seien. Mir liegen Hinweise vor, dass die Schwachstellen in den Zyxel-Firewall-Produkten bereits ausgenutzt werden.


Anzeige

Ich bin durch Blog-Leser Patrik Stolz (danke dafür) auf Twitter auf den nachfolgenden Tweet hingewiesen worden. Der Tweet thematisiert die aktuelle Sicherheitswarnung von Zyxel vom 24. Mai 2023.

Zyxel security advisory May 24, 2023

In der Sicherheitswarnung Zyxel security advisory for multiple buffer overflow vulnerabilities of firewalls meldet der Hersteller die Freigabe von Patches für seine Firewall-Produkte, die die von mehreren Pufferüberlauf-Schwachstellen betroffen sind. Den Benutzern wird empfohlen, diese Patches zu installieren, um sich optimal zu schützen. Es handelt sich um folgende Schwachstellen:

  • CVE-2023-33009: Eine Pufferüberlaufschwachstelle in der Benachrichtigungsfunktion in einigen Firewall-Versionen könnte es einem nicht authentifizierten Angreifer ermöglichen, Denial-of-Service-Bedingungen (DoS) und sogar eine Remotecodeausführung auf einem betroffenen Gerät zu verursachen.
  • CVE-2023-33010: Eine Pufferüberlaufschwachstelle in der ID-Verarbeitungsfunktion in einigen Firewall-Versionen könnte es einem nicht authentifizierten Angreifer ermöglichen, DoS-Bedingungen und sogar eine Remotecode-Ausführung auf einem betroffenen Gerät zu verursachen.

Zyxel hat die Schwachstellen untersucht und gibt nachfolgende Firewall- und VPN-Produkte als verwundbar an bzw. bietet entsprechende Updates zum Schließen der Schwachstellen an.

Affected series Affected version Patch availability
ATP ZLD V4.32 to V5.36 Patch 1 ZLD V5.36 Patch 2
USG FLEX ZLD V4.50 to V5.36 Patch 1 ZLD V5.36 Patch 2
USG FLEX50(W) / USG20(W)-VPN ZLD V4.25 to V5.36 Patch 1 ZLD V5.36 Patch 2
VPN ZLD V4.30 to V5.36 Patch 1 ZLD V5.36 Patch 2
ZyWALL/USG ZLD V4.25 to V4.73 Patch 1

Die Sicherheitsupdates sollten zeitnah installiert werden, da die Schwachstellen sofort durch Angreifer ausgenutzt werden (auch wenn Zyxel keine Details zu den Schwachstellen veröffentlicht hat).

Ergänzung: Es gibt noch einen zweiten Beitrag von Zyxel: Zyxel security advisory for multiple buffer overflow vulnerabilities of firewalls – Unstable VPN Connection & Webinterface Login Issues, erschienen vor wenigen Minuten, der über Probleme und Schwachstellen informiert und Hotfixes verlinkt. Zudem empfiehlt es sich, wie in den Kommentaren angemerkt, die Nutzerkonten darauf hin zu überprüfen, ob bereits eine Kompromittierung stattgefunden hat.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Kritisches Sicherheitsupdate (24. Mai 2023) für alle Zyxel-Firewall-Produkte – Angriffe laufen bereits

  1. Stefan sagt:

    Da viele Kunden von uns Probleme mit VPN Verbindungen hatten, musten wir gestern, gefühlt zum 10ten mal seit Corona, alle Firewalls updaten. Das Problem: zyxel ist nicht fähig eine Übersicht aller Geräte, samt Firmware, für MSP in ihre Nebula Cloud einzubauen (wohl durch den Kauf der MSP Lizenz soll's etwas einfacher gehen ??) . D. H. Du Must jeden Kunden und jeden Standort anklicken um das Update neu zu planen. Grml. So langsam macht es keinen Spaß mehr.

  2. Oli sagt:

    Am Montag Abend hat es angefangen, dass die ersten Firewalls herum zickten, am Dienstag Morgen hatten wir 5 Kunden, welche an mehreren Standorten Probleme hatten.
    Gestern nochmals ein Kunde. Nun simd die Systeme gepatcht.

  3. Anonymous sagt:

    Tipp: Wenn "Remotecode-Ausführung auf einem betroffenen Gerät" möglich sind/waren, ist es mit einfachem Einspielen eines Updates nach "herumzicken" der Geräte natürlich nicht getan, das ist den verantwortlichen IT Betreuern hier sicherlich klar, oder?

  4. Phil sagt:

    Einige Kunden von uns hat es auch erwischt. Viele gaben an dass das Internet recht langsam sei oder das sie Probleme mit der Verbindung des VPN-Tunnels haben.

    Im Monitoring sahen wir, dass die CPU sehr ausgelastet worden war.

    Nachdem wir die Patches bei allen KDn eingespielt haben, haben wir auch die Admin-User kontrolliert. Wir fanden, zum Glück vereinzelt aber dennoch, verdächtige Admin-User wie z.b. "ldap-usres", oder "ad-mange" (Kein Schreibfehler von meiner Seite ;D). Ich empfehle deshalb jeden, falls schon nicht gemacht, auch die User zu kontrollieren!

  5. WH sagt:

    Ich habe gestern Nacht bei allen unseren Kunden die ZyWalls upgedatet.

    • Anonymous sagt:

      Und auch alle Kunden informiert, dass sowohl die ZyWalls als auch ihre gesamten Netzwerke dahinter als kompromitiert zu betrachten sind?

  6. Mario sagt:

    Ich hatte gestern auch eine Nachtschicht mit ca. 35 Firewalls, bis auf eine sind alle wieder online gekommen.
    Mir ist noch nicht klar, was das da gefixt wurde. Es geht um VPN und Port 500, das wure von Zyxel bestätigt. Folgenden bericht habe ich gefunden, dies betrifft aber eine andere CVE, ist aber dennoch sehr ähnlich:
    https://attackerkb.com/topics/N3i8dxpFKS/cve-2023-28771/rapid7-analysis
    War da der erste fix nicht gut, oder gibt es mehrere Probleme an der gleichen Stelle?
    @Phil:
    Welche Firmware hatten die Firewalls vorher?
    Kannst du anhand von Backups der Konfigdateien festellen, wann diese ungewollten User erstellt wurden?
    Gruss Mario

  7. Anonymous sagt:

    @Herr Born: Evtl. könnte man im Beitrag noch weiter ergänzen, dass neben möglicher Kompromittierung der Zyxel Geräte jetzt natürlich auch die gesamten Netzwerke dahinter auf andere Kompromittierungen geprüft werden müssen. Dieser eigentlich logische Zusammenhang wird von vielen IT Betreuern vermutlich (leider) nicht wahrgenommen.

  8. Christian Krause sagt:

    Wozu ausser Compliance sind Hardware Firewalls nochmal genau gut?
    Durch NAT kommt kein unerwünschter Verkehr von aussen nach innen, bei einer Fritzbox gilt das auch für ipv6 ohne NAT.
    Von innen nach aussen nutzt jedes Schadprogramme ohnehin den offenen tcp443.
    Netz Trennung bei grossen Unternehmen, gut. Aber bei den kleineren Unternehmen?
    Und jetzt auch noch RCE. Dankeschön.

Schreibe einen Kommentar zu Anonymous Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.