Cert-Bund warnt: Schwachstelle in Zyxel Firewalls aktiv ausgenutzt

Am 22. November 2024 veröffentlichte das BSI eine wichtige Sicherheitswarnung (CSW-Nr. 2024-290907-1032, Version 1.0) im Zusammenhang mit einer Ransomware-Kampagne, die die Zyxel Firewalls USG Flex und ATP missbraucht, um die Helldown Ransomware zu verbreiten. Die Schwachstelle wurde von Angreifern genutzt, um Unternehmensnetzwerke zu kompromittieren, Daten zu verschlĂŒsseln und mit der Veröffentlichung von entwendeten Informationen zu drohen, was die Bedrohung noch gefĂ€hrlicher macht. Diese Schwachstelle wurde in der Firmware-Version 5.39 der Zyxel Firewalls bestĂ€tigt, die am 3. September 2024 veröffentlicht wurde. Trotz eines Sicherheitspatches, der am 21. November 2024 von Zyxel bereitgestellt wurde, berichteten einige Institutionen, dass sie auch nach der Installation des Patches weiterhin von Helldown-Infektionen betroffen waren. Dies deutet darauf hin, dass die alleinige Aktualisierung der Firmware nicht ausreichte, um die Kompromittierungen nachhaltig zu verhindern.

Die Helldown Ransomware wurde erstmals im August 2024 beobachtet und hat seitdem eine Zunahme an VorfĂ€llen verursacht. Besonders im Oktober 2024 wurden mehrere grĂ¶ĂŸere Wellen von Angriffen gemeldet, bei denen diese Schadsoftware in Netzwerken rund um den Globus verbreitet wurde. Die Angreifer nutzen eine Schwachstelle in den Zyxel Firewalls, um in die Netzwerke einzudringen, Daten zu verschlĂŒsseln und ein zusĂ€tzliches Druckmittel in Form von Double Extortion anzuwenden: Es wird nicht nur die EntschlĂŒsselung der Daten verlangt, sondern auch die Drohung ausgesprochen, die gestohlenen Daten zu veröffentlichen, falls keine Zahlung erfolgt.

Die genaue Schwachstelle, die bei den Angriffen ausgenutzt wird, ist bislang nicht offiziell identifiziert, jedoch wurde bestĂ€tigt, dass sie in den Zyxel Firewalls der Serien USG Flex und ATP auftritt. Die ursprĂŒngliche Vermutung bezĂŒglich der Zyxel Firewall-Schwachstelle in Verbindung mit der Helldown Ransomware-Kampagne verweist auf die CVE-2024-42057, die eine kritische Command Injection-Schwachstelle in Zyxel Firewalls betrifft (Schweregrad: 8.1, veröffentlicht am 3. September 2024). Diese Schwachstelle wurde von Sekoia und Cyfirma genannt und könnte eine zentrale Rolle bei den Angriffen gespielt haben.

Es gibt jedoch eine zusÀtzliche und wichtige Unterscheidung: In seinem eigenen Security Advisory bestÀtigt Zyxel, dass die ausgenutzte Schwachstelle nicht mit CVE-2024-42057 zusammenhÀngt. Stattdessen verweist der Hersteller auf eine andere Schwachstelle, die in CVE-2024-11667 dokumentiert ist. Diese Schwachstelle betrifft Directory Traversal und hat einen Schweregrad von 7.5 (hoch), und wurde am 27. November 2024 veröffentlicht.

Dies bedeutet, dass die Zyxel-spezifische Schwachstelle nicht die Command Injection-Schwachstelle (CVE-2024-42057) betrifft, sondern vielmehr mit einer Directory Traversal-Schwachstelle (CVE-2024-11667) in Verbindung steht. Der Unterschied ist bedeutend, da Directory Traversal Angreifern ermöglicht, auf nicht autorisierte Verzeichnisse auf einem System zuzugreifen, was ebenfalls ein ernstes Sicherheitsrisiko darstellt.

Related Posts

VMware veröffentlicht Sicherheitsupdates fĂŒr Aria Operations (VMSA-2024-0022)

Am 26. November 2024 hat VMware wichtige Updates fĂŒr VMware Aria Operations veröffentlicht, um mehrere Schwachstellen (CVE-2024-38830 bis CVE-2024-38834) zu beheben. Diese Schwachstellen haben eine Schweregradbewertung von 6.5 bis 7.8 (wichtig). Administratoren sollten die Version 8.18.2 sofort installieren, um potenzielle Angriffe zu verhindern. Betroffen sind VMware Aria Operations 8.x, 5.x, 4.x (alle Plattformen).

Read More

Kritische SQL-Injection-Schwachstelle in Zabbix API entdeckt (CVE-2024-42327)

Ein kritischer SQL-Injection-Fehler (CVE-2024-42327) wurde in der user.get-API von Zabbix identifiziert. Die Schwachstelle betrifft Nicht-Admin-Benutzer mit der Standardrolle „User“ oder jeder anderen Rolle, die API-Zugriff ermöglicht.

Read More

GitLab Patch-Release: Wichtige Sicherheits- und Bugfixes in Versionen 17.6.1, 17.5.3 und 17.4.5

Am 26. November 2024 hat GitLab neue Patch-Releases fĂŒr die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht: Versionen 17.6.1, 17.5.3 und 17.4.5. Diese Updates beinhalten kritische Sicherheitskorrekturen und Bugfixes. Alle selbstverwalteten Installationen sollten umgehend auf eine dieser Versionen aktualisiert werden.

Read More