Cert-Bund warnt: Schwachstelle in Zyxel Firewalls aktiv ausgenutzt
Am 22. November 2024 veröffentlichte das BSI eine wichtige Sicherheitswarnung (CSW-Nr. 2024-290907-1032, Version 1.0) im Zusammenhang mit einer Ransomware-Kampagne, die die Zyxel Firewalls USG Flex und ATP missbraucht, um die Helldown Ransomware zu verbreiten. Die Schwachstelle wurde von Angreifern genutzt, um Unternehmensnetzwerke zu kompromittieren, Daten zu verschlĂŒsseln und mit der Veröffentlichung von entwendeten Informationen zu drohen, was die Bedrohung noch gefĂ€hrlicher macht. Diese Schwachstelle wurde in der Firmware-Version 5.39 der Zyxel Firewalls bestĂ€tigt, die am 3. September 2024 veröffentlicht wurde. Trotz eines Sicherheitspatches, der am 21. November 2024 von Zyxel bereitgestellt wurde, berichteten einige Institutionen, dass sie auch nach der Installation des Patches weiterhin von Helldown-Infektionen betroffen waren. Dies deutet darauf hin, dass die alleinige Aktualisierung der Firmware nicht ausreichte, um die Kompromittierungen nachhaltig zu verhindern.
Die Helldown Ransomware wurde erstmals im August 2024 beobachtet und hat seitdem eine Zunahme an VorfĂ€llen verursacht. Besonders im Oktober 2024 wurden mehrere gröĂere Wellen von Angriffen gemeldet, bei denen diese Schadsoftware in Netzwerken rund um den Globus verbreitet wurde. Die Angreifer nutzen eine Schwachstelle in den Zyxel Firewalls, um in die Netzwerke einzudringen, Daten zu verschlĂŒsseln und ein zusĂ€tzliches Druckmittel in Form von Double Extortion anzuwenden: Es wird nicht nur die EntschlĂŒsselung der Daten verlangt, sondern auch die Drohung ausgesprochen, die gestohlenen Daten zu veröffentlichen, falls keine Zahlung erfolgt.
Die genaue Schwachstelle, die bei den Angriffen ausgenutzt wird, ist bislang nicht offiziell identifiziert, jedoch wurde bestĂ€tigt, dass sie in den Zyxel Firewalls der Serien USG Flex und ATP auftritt. Die ursprĂŒngliche Vermutung bezĂŒglich der Zyxel Firewall-Schwachstelle in Verbindung mit der Helldown Ransomware-Kampagne verweist auf die CVE-2024-42057, die eine kritische Command Injection-Schwachstelle in Zyxel Firewalls betrifft (Schweregrad: 8.1, veröffentlicht am 3. September 2024). Diese Schwachstelle wurde von Sekoia und Cyfirma genannt und könnte eine zentrale Rolle bei den Angriffen gespielt haben.
Es gibt jedoch eine zusÀtzliche und wichtige Unterscheidung: In seinem eigenen Security Advisory bestÀtigt Zyxel, dass die ausgenutzte Schwachstelle nicht mit CVE-2024-42057 zusammenhÀngt. Stattdessen verweist der Hersteller auf eine andere Schwachstelle, die in CVE-2024-11667 dokumentiert ist. Diese Schwachstelle betrifft Directory Traversal und hat einen Schweregrad von 7.5 (hoch), und wurde am 27. November 2024 veröffentlicht.
Dies bedeutet, dass die Zyxel-spezifische Schwachstelle nicht die Command Injection-Schwachstelle (CVE-2024-42057) betrifft, sondern vielmehr mit einer Directory Traversal-Schwachstelle (CVE-2024-11667) in Verbindung steht. Der Unterschied ist bedeutend, da Directory Traversal Angreifern ermöglicht, auf nicht autorisierte Verzeichnisse auf einem System zuzugreifen, was ebenfalls ein ernstes Sicherheitsrisiko darstellt.