Firmenlink

ESET

 

Zyxel: mehrere NAS-Produkte von kritischer Sicherheitslücke betroffen

Verschiedene NAS-Modelle von Zyxel sind über eine Schwachstelle angreifbar. Ein Hotfix ist verfügar, ein Patch folgt im März.

von Claudia Maag 26.02.2020

Mehrere NAS-Modelle von Zyxel sind derzeit von einer kritischen Sicherheitslücke betroffen, berichtet inside-it.ch. Demnach sind verschiedene NAS-Modelle über eine als kritisch eingestufte Security-Lücke (CVE-2020-9054) angreifbar. Das CERT der Carnegie Mellon University bewertet die Schwachstelle mit einem Base-Score von 10 (höchster Score).

Betroffen sind laut Zyxel (Englisch) die NAS-Produkte mit der Firmware-Version V5.21 oder früher.

  • NAS326
  • NAS520
  • NAS540
  • NAS542
NAS326 von Zyxel NAS326 von Zyxel Zoom  Hersteller Zyxel empfiehlt den Kunden «eindringlich», zuerst die Hotfixes (siehe Tabelle) zu installieren und anschliessend die Firmware-Patches, sobald sie im März verfügbar sind.

Von der Lücke betroffen sind ausserdem Geräte, die von Zyxel nicht mehr unterstützt werden. Das sind die Modelle: NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 und NSA325v2. Anwendern rät Zyxel, diese nicht direkt ans Internet anzuschliessen, bzw. sie zusätzlich abzusichern. 

Entdeckt wurde die Lücke von Alex Holden, dem Gründer der Sicherheitsfirma Hold Security. Laut krebsonsecurity.com (Englisch) hatte er eine Kopie des Exploit-Codes erhalten, der es einem Angreifer ermöglicht, mehr als ein Dutzend Arten von Zyxel-NAS-Produkten aus der Ferne zu kompromittieren. Gemäss KrebsOnSecurity wurden die Anweisungen zur Ausnutzung der Schwachstelle in Untergrundforen für 20'000 US-Dollar verkauft.

Tags: Zyxel, NAS

    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.