Am 22. November 2024 veröffentlichte das BSI eine wichtige Sicherheitswarnung (CSW-Nr. 2024-290907-1032, Version 1.0) im Zusammenhang mit einer Ransomware-Kampagne, die die Zyxel Firewalls USG Flex und ATP missbraucht, um die Helldown Ransomware zu verbreiten. Die Schwachstelle wurde von Angreifern genutzt, um Unternehmensnetzwerke zu kompromittieren, Daten zu verschlüsseln und mit der Veröffentlichung von entwendeten Informationen zu drohen, was die Bedrohung noch gefährlicher macht. Diese Schwachstelle wurde in der Firmware-Version 5.39 der Zyxel Firewalls bestätigt, die am 3. September 2024 veröffentlicht wurde. Trotz eines Sicherheitspatches, der am 21. November 2024 von Zyxel bereitgestellt wurde, berichteten einige Institutionen, dass sie auch nach der Installation des Patches weiterhin von Helldown-Infektionen betroffen waren. Dies deutet darauf hin, dass die alleinige Aktualisierung der Firmware nicht ausreichte, um die Kompromittierungen nachhaltig zu verhindern.
Die Helldown Ransomware wurde erstmals im August 2024 beobachtet und hat seitdem eine Zunahme an Vorfällen verursacht. Besonders im Oktober 2024 wurden mehrere größere Wellen von Angriffen gemeldet, bei denen diese Schadsoftware in Netzwerken rund um den Globus verbreitet wurde. Die Angreifer nutzen eine Schwachstelle in den Zyxel Firewalls, um in die Netzwerke einzudringen, Daten zu verschlüsseln und ein zusätzliches Druckmittel in Form von Double Extortion anzuwenden: Es wird nicht nur die Entschlüsselung der Daten verlangt, sondern auch die Drohung ausgesprochen, die gestohlenen Daten zu veröffentlichen, falls keine Zahlung erfolgt.
Die genaue Schwachstelle, die bei den Angriffen ausgenutzt wird, ist bislang nicht offiziell identifiziert, jedoch wurde bestätigt, dass sie in den Zyxel Firewalls der Serien USG Flex und ATP auftritt. Die ursprüngliche Vermutung bezüglich der Zyxel Firewall-Schwachstelle in Verbindung mit der Helldown Ransomware-Kampagne verweist auf die CVE-2024-42057, die eine kritische Command Injection-Schwachstelle in Zyxel Firewalls betrifft (Schweregrad: 8.1, veröffentlicht am 3. September 2024). Diese Schwachstelle wurde von Sekoia und Cyfirma genannt und könnte eine zentrale Rolle bei den Angriffen gespielt haben.
Es gibt jedoch eine zusätzliche und wichtige Unterscheidung: In seinem eigenen Security Advisory bestätigt Zyxel, dass die ausgenutzte Schwachstelle nicht mit CVE-2024-42057 zusammenhängt. Stattdessen verweist der Hersteller auf eine andere Schwachstelle, die in CVE-2024-11667 dokumentiert ist. Diese Schwachstelle betrifft Directory Traversal und hat einen Schweregrad von 7.5 (hoch), und wurde am 27. November 2024 veröffentlicht.
Dies bedeutet, dass die Zyxel-spezifische Schwachstelle nicht die Command Injection-Schwachstelle (CVE-2024-42057) betrifft, sondern vielmehr mit einer Directory Traversal-Schwachstelle (CVE-2024-11667) in Verbindung steht. Der Unterschied ist bedeutend, da Directory Traversal Angreifern ermöglicht, auf nicht autorisierte Verzeichnisse auf einem System zuzugreifen, was ebenfalls ein ernstes Sicherheitsrisiko darstellt.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: