Der unsichtbare Feind: Buffer Overflow Schwachstellen in Zyxel Routern nach wie vor problematisch 

vulnerability

Anfang dieses Jahres veröffentlichte das SEC Consult Vulnerability Lab ein technisches Advisory zu verschiedenen kritischen Schwachstellen in Zyxel-Geräten, die sich aus unsicherer Programmierung und Konfiguration ergeben. Dazu gehörte auch ein äußerst kritischer, ohne vorherige Authentifizierung ausnutzbarer Pufferüberlauf (sogen. "Buffer Overflow") im proprietären Zyxel-Webserver, der Remote-Root-Zugriff auf das Gerät ermöglichte. 

Einige Wochen nach dieser Veröffentlichung machten Firewalls und VPNs von Zyxel erneut Schlagzeilen. Jacob Baines,leitender Sicherheitsforscher bei Rapid7, hatte ein anderes kritisches Problem in Zyxel-Geräten entdeckt, das viele Unternehmen weltweit akut angreifbar machte. Angesichts der hohen Anzahl an Exploit-Versuchen, war das verhältnismäßig "kleine" Problem des Buffer Overflows und die Sicherheitshinweise von Gerhard Hechenberger, Steffen Robertz, Thomas Weber und Stefan Viehböck schnell in Vergessenheit geraten. 

 

Was war das Problem?

War die Sicherheitsmaßnahme ASLR erst einmal umgangen, verwandelte sich der ursprüngliche Buffer Overflow in eine nicht authentifizierte Remote-Code-Ausführung und ermöglichte auf die betroffenen Geräte mit Root-Berechtigungen zuzugreifen.

Die einzige Voraussetzung: Zugriff auf Netzwerkebene auf das Webinterface, z.B. über das (oft schlecht abgesicherte) WLAN-Netzwerk, oder über das Internet.

Im Rahmen des Responsible Disclosure Prozesses wurde bei der Veröffentlichung im Februar 2022 der detaillierte Proof-of-Concept daher bewusst entfernt, um Internet Service Providern (ISP) und Endbenutzern weltweit mehr Zeit zum Patchen ihrer betroffenen Geräte zu geben. Denn es gab äußerst viele von ihnen.

Mit ein paar Codezeilen konnte ein Angreifer eine Backdoor auf dem Router installieren, den Datenverkehr umleiten (was für ein Spaß, oder?), andere (vielleicht schwerer zu knackende) Passwörter für Online-Banking, Social-Media-Konten und vieles mehr abgreifen. In vielen Fällen war das Webinterface des Routers sogar im Internet erreichbar, statt “geschützt” im WLAN. Für Hacker eine Freude, für die eigene Netzwerksicherheit ein Graus.

 

Was ist der Unterschied zwischen der im Mai veröffentlichten Schwachstelle und der „Kleineren“ vom Februar?

Tatsächlich haben wir hier einen sehr ähnlichen Effekt. Der Hauptunterschied besteht darin, dass die betroffenen Geräte auf unserer Liste hauptsächlich als CPE-Geräte (Customer Premises Equipment) bei Internetanbietern für Einzelpersonen oder kleine Unternehmen verwendet werden. Die im Mai angegriffenen Geräte kommen hauptsächlich bei größeren Unternehmen zum Einsatz, außerdem konnten im Vergleich zu den CPE-Geräten mehr Firewalls gefunden und über das Internet attackiert werden. Die vollständige Liste der betroffenen Geräte finden Sie weiter unten im Artikel.

 

Warum ist das jetzt noch relevant?

Man liest oft davon, wie wichtig die Sicherheit im eigenen Netzwerk ist. Leider kann schon ein einziges Gerät in den eigenen vier Wänden eine riesige Sicherheitslücke öffnen und damit die gesamte Netzwerksicherheit aushebeln. Und es ist nicht immer das automatische Garagentor oder die schicke IoT-Webcam (wir erinnern uns an “HiKam ”, die auch für die Pwnie Awards 2022 nominiert wurden). Vielleicht schmökern Sie an dieser Stelle auch einmal in unseren Top-Ten-Schwachstellen, die wohl nie aus der Mode kommen.

 

Zurück zu den “wenigen Code-Zeilen", die es für einen Hackerangriff benötigt. Wir haben nun für das Ausnutzen der Buffer-Overflow Schwachstelle ein Metasploit Modul auf Github veröffentlicht. Damit ist es möglich, quasi auf Knopfdruck zu testen, ob Ihr eigenes Gerät tatsächlich gepatcht wurde (statt darauf zu hoffen, dass sich kein Hacker für Ihr Netzwerk interessiert). 

Wir möchten Sie wirklich bitten, die Liste der betroffenen Produkte zu überprüfen. Viele davon wurden noch nicht gepatcht, weil sie von Zyxel als “End-of-Life-Produkte" (EOLs) eingestuft wurden und keine Updates mehr erhalten. Viele dieser Produkte sind aber noch im Einsatz und werden in der Regel nicht von IT-Technikern, sondern „normalen“ Menschen verwendet, unabhängig vom offiziellen Status oder Produktlebenszyklus des Herstellers. Wir können nur mutmaßen, wie viele Geräte nicht durch ein neueres (gepatchtes) Modell ersetzt werden oder ein manuelles Update erhalten müssten, und somit ungesichert bleiben.

Wenn Sie zufällig Menschen in Ihrem Freundeskreis haben, die ein Café (oder einen anderen Ort mit öffentlichem WLAN) betreiben, laden Sie sie doch ein, unseren bereitgestellten Metasploit-Code auch bei sich zu testen. Nur so können sie sicher sein, ob der Router dringend gepatcht oder getauscht werden muss. Für die Sicherheit in Ihrem WLAN zu Hause ist es unabhängig davon immer eine gute Idee, Ihre Passwörter entsprechend sicher zu wählen und regelmäßig zu aktualisieren.

Wie viele Geräte sind aktuell betroffen?

Bei einem kürzlich durchgeführten Censys.io Scan nach potenziell anfälligen Zyxel-Produkten haben wir über 5000 Geräte identifiziert, die über das Internet erreichbar zu sein scheinen. Die Anzahl der nur im lokalen Netzwerk erreichbaren und anfälligen Geräte ist uns leider nicht bekannt.Bei Censys suchten wir nach den betroffenen Gerätenamen und filterten die HTTP Dienste. Die meisten entdeckten Geräte haben das Zyxel Web Interface über das Internet freigeschaltet (neben anderen diversen Admin-Interfaces) - davon sind über 5000 Geräte erreichbar. Dies bedeutet nicht notwendigerweise, dass diese ungepatcht sind. Aber es ist niemals eine gute Idee, diese administrativen Interfaces direkt über das Internet erreichbar zu machen. Die folgenden Censys-Abfragen können genutzt werden, um die Geräte zu finden (aufgesplittet auf drei Anfragen, aufgrund der hohen Anzahl an Geräte):

Beispielhafte Abfragen für angreifbare Zyxel-Geräte

(Klick auf das Bild öffnet die Ergebnise auf search.censys.io, Login notwendig)
Ergebnisse auf Censys zu
("AMG1302-T11C" OR "VMG3925-B10C" OR "VMG8924-B10D" OR "VMG1312-B10D" OR "VMG3312-T20A" OR "VMG3625-T20A" OR "VMG3925-B10B" OR "VMG3925-B10C" OR "VMG3925-B30C" OR "VMG3926-B10A" OR "VMG5313-B10B" OR "VMG5313-B30B" OR "VMG8623-T50A" OR "VMG8823-B10B" OR "VMG8823-B30B" OR "VMG8823-B50B") and services.service_name=`HTTP`
Ergebnisse auf Censys zu
("VMG8823-B60B" OR "VMG8924-B10D" OR "VMG8924-B30D" OR "PMG5317-T20A" OR "DX3301-T0" OR "DX5401-B0" OR "EMG3525-T50B" OR "EMG5523-T50B" OR "EMG5723-T50K" OR "EX3301-T0" OR "EX5401-B0" OR "EX5501-B0" OR "LTE3301-PLUS" OR "LTE7240-M403" OR "VMG1312-T20B" OR "VMG3625-T50B" OR "VMG3927-B50A" OR "VMG3927-B60A") and services.service_name=`HTTP`
Ergebnisse auf Censys zu
("VMG3927-T50K" OR "VMG4005-B50A" OR "VMG8623-T50B" OR "VMG8825-B50A" OR "VMG8825-B50B" OR "VMG8825-B60A" OR "VMG8825-B60B" OR "VMG8825-T50K" OR "XMG3927-B50A" OR "XMG8825-B50A" OR "VPN2S" OR "AX7501-B0" OR "PMG5317-T20B" OR "PMG5617GA" OR "PMG5622GA" OR "WX3100-T0" OR "WX3401-B0" OR "WSQ50" OR "WSQ60") and services.service_name=`HTTP`

Über 34.000 angreifbare Geräte in Großbritannien

Wir haben zu Testzwecken einen HTML Fingerprint für ein Routermodell erstellt (spannender Weise hatten zwei Router-Webinterfaces den selben Hash) und danach einen Scan durchgeführt. So lassen sich aktuell über 30.000 Router - beziehungsweise deren Webinterfaces - im Internet finden. Fast alle davon in England. Der betroffene ISP wurde von uns zwischenzeitlich darüber informiert, dass diese vermutlich per ISP-Standardkonfiguration das Admininterface auch im Internet exponieren. Es liegt die Vermutung nahe, dass man mit weiteren Hashes für andere Produktversionen, potenziell noch viel mehr ungepatchte Geräte finden kann.

Mehr über die Veröffentlichung des Metasploit-Moduls

Das Metasploit-Modul nutzt eine Schwachstelle aus, welche das Lesen von Dateien ohne vorherige Authentifizierung erlaubt (Schwachstelle 2 im Advisory des SEC Consult Vulnerability Labs). Dies wird durchgeführt, um festzustellen, ob es sich um eine anfällige Firmware handelt. Dies ist ein ziemlich aussagekräftiger Marker, da der Pufferüberlauf auf dieselbe undokumentierte Funktionalität abzielt. Das Modul lässt sodann den Puffer überlaufen und versucht die libc-Ladeadresse zu erraten. Wenn die Vermutung falsch ist, stürzt die Weboberfläche ab. Es wird jedoch nach fünf Sekunden automatisch neu gestartet. Somit kann alle 5s ein neuer Exploit-Durchlauf gestartet werden. Bei 25 Durchläufen bedeutet das eine durchschnittliche Laufzeit von etwa 20min, um eine Root-Shell zu erhalten. Die Internetverbindung wird durch den abstürzenden Webserver nicht beeinträchtigt und fällt daher nicht auf.

Betroffene EOL-Produkte

(Liste nicht unbedingt vollständig), diese Produkte erhalten kein Update

AMG1302-T11C EOL
VMG3925-B10C EOL
VMG8924-B10D EOL
VMG1312-B10D EOL
VMG3312-T20A EOL
VMG3625-T20A EOL
VMG3925-B10B EOL
VMG3925-B10C EOL
VMG3925-B30C EOL
VMG3926-B10A EOL
VMG5313-B10B EOL
VMG5313-B30B EOL
VMG8623-T50A EOL
VMG8823-B10B EOL
VMG8823-B30B EOL
VMG8823-B50B EOL
VMG8823-B60B EOL
VMG8924-B10D EOL
VMG8924-B30D EOL
PMG5317-T20A EOL

Betroffene Geräte

Und Patch-Verfügbarkeit

Betroffenes Geräte Modell / Patch Verfügbarkeit
CPE:  
DX3301-T0 V5.50(ABVY.3)C0 im Sep. 2022
DX5401-B0 V5.17(ABYO.1)C0
EMG3525-T50B EMEA - V5.50(ABPM.6)C0 || S. America - V5.50(ABSL.0)b12 im Sep. 2022
EMG5523-T50B EMEA - V5.50(ABPM.6)C0 || S. America - V5.50(ABSL.0)b12 im Sep. 2022
EMG5723-T50K V5.50(ABOM.7)C0
EX3301-T0 V5.50(ABVY.3)C0 im Sep. 2022
EX5401-B0 V5.17(ABYO.1)C0
EX5501-B0 V5.17(ABRY.2)C0
LTE3301-PLUS V1.00(ABQU.3)C0
LTE7240-M403 V2.00(ABMG.4)C0
VMG1312-T20B V5.50(ABSB.5)C0
VMG3625-T50B V5.50(ABPM.6)C0
VMG3927-B50A V5.17(ABMT.6)C0
VMG3927-B60A V5.17(ABMT.6)C0
VMG3927-T50K V5.50(ABOM.7)C0
VMG4005-B50A V5.15(ABQA.2)C0 im Mar. 2022
VMG8623-T50B V5.50(ABPM.6)C0
VMG8825-B50A V5.17(ABMT.6)C0
VMG8825-B50B V5.17(ABNY.7)C0
VMG8825-B60A V5.17(ABMT.6)C0
VMG8825-B60B V5.17(ABNY.7)C0
VMG8825-T50K V5.50(ABOM.7)C0
XMG3927-B50A V5.17(ABMT.6)C0
XMG8825-B50A V5.17(ABMT.6)C0
   
Firewall:  
VPN2S V1.20(ABLN.2)_00210319C1
   
ONT:  
AX7501-B0 V5.17(ABPC.1)C0
EP240P V5.40(ABVH.1)C0 in May 2022
PMG5317-T20B V5.40(ABKI.4)C0 im Apr. 2022
PMG5617GA V5.40(ABNA.2)C0 im Apr. 2022
PMG5622GA V5.40(ABNB.2)C0 im Apr. 2022
   
WiFi extender:  
WX3100-T0 V5.50(ABVL.1)C0 im Mar. 2022
WX3401-B0 V5.17(ABVE.1)C0
   
WiFi system:  
WSQ50 (Multy X) V2.20(ABKJ.7)C0
WSQ60 (Multy Plus) V2.20(ABND.8)C0
Illustration mit Schritt-für-Schritt-Anleitung zur Problembehebung aktueller Schwachstellen in Zyxel-Geräten: Check nach Updates, Patch oder Ersetzen des Gerätes

Was kann ich tun?

Als Endanwender

Wenn Ihr Gerät immer noch anfällig ist, fordern Sie den Hersteller oder Ihren Internet Service Provider (ISP) auf, es zu patchen. Falls Ihr Zyxel-Gerät auf der Liste der EOL-Geräte steht, ziehen Sie einen Wechsel zu einem neueren Modell in Betracht.

Als Verkäufer, Hersteller oder ISP

Sie sind für die Sicherheit Ihrer Produkte und Dienstleistungen in Ihrer gesamten Lieferkette verantwortlich. Damit Sie diese Vorgabe besser erfüllen können, haben wir einige Trainings- und Testmöglichkeiten für Sie zusammengestellt:

Consulting für Sichere Software-Entwicklung

Sicherheit muss in jeder Phase der Software-Entwicklung berücksichtigt werden. SEC Consult unterstützt Organisationen bei der Evaluierung und Implementierung von Sicherheitsaktivitäten in ihrem Entwicklungsprozess.

 

Sicherheit für IoT und Embedded Systems

SEC Consult bietet Ihnen das volle Spektrum an Sicherheitsprüfungen, egal ob Hardware, Firmware, Applikationen oder Cloud-basierte IoT-Plattformen. Unsere erfahrenen ExpertInnen prüfen IoT-Geräte, IoT-Umgebungen sowie Embedded Systems jeder Art auf Schwachstellen und Sicherheitslücken.

 

SEC Trainings

Mehr Bewusstsein für IT-Sicherheit zu schaffen und das Wissen der EndbenutzerInnen rund um das Thema Sicherheit zu optimieren, bilden die Grundlage der Informationssicherheit. Die Schulungen von SEC Consult sind auf unterschiedliche Zielgruppen zugeschnitten und basieren auf bewährten Verfahren, echten Fallbeispielen und dem neuesten Forschungsstand im Sicherheitsbereich.

 

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück