Maximales Desaster für Zyxel: EOL-Router und Ransomware-Angriffe

Jedes Produkt hat ein Ablaufdatum, aber die Kunden haben oft nur eine kurze Vorwarnung und keinen Regressanspruch, wenn ein Anbieter beschließt, ein Produkt auslaufen zu lassen. Sobald ein Anbieter ein Produkt mit End-of-Life (EOL) oder End-of-Service (EOS) kennzeichnet, wird das Management der damit verbundenen Risiken komplexer. Das Risiko vergrößert sich, wenn Cyberkriminelle Schwachstellen finden und ausnutzen, die nie gepatcht werden. Wenn ein EOL-Produkt zukünftig anfällig wird, müssen seine Benutzer selbst zusätzliche Sicherheitskontrollen einführen.

Wenn sich herausstellt, dass der Anbieter diese anfälligen EOL-Produkte immer noch verkauft, kann dies als „perfekter Sturm“ oder größte Katastrophe angesehen werden. In diesem Artikel werden wir mehrere Sicherheitswarnungen für Zyxel-Produkte untersuchen, darunter einige, die als EOL-Produkte eingestuft sind, und eine weitere Schwachstelle, die bei Ransomware-Angriffen ausgenutzt wird.

Jüngste Sicherheitslücken in Zyxel-Produkten

CVE-2024-40891 (CVSS 8.8), eine schwerwiegende Schwachstelle zur Remote Code Execution (RCE) in der Telnet-Implementierung von Zyxel, ist seit Mitte 2024 bekannt. Dennoch hat Zyxel auch fast sechs Monate später noch keinen Patch veröffentlicht und behauptet, die betroffenen Produkte seien EOS und EOL. Anfang 2025 beobachtete GreyNoise die aktive Ausnutzung von CVE-2024-40891 gegen anfällige Zyxel CPE-Netzwerkgeräte. Diese CVE (Common Vulnerabilities and Exposures) und eine weitere RCE-Schwachstelle, CVE-2024-40890 (CVSS 8.8), wurden beide Mitte Februar in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen. Während es sich bei den beiden CVEs um RCE-Schwachstellen nach der Authentifizierung handelte, lieferte eine dritte Sicherheitslücke, CVE-2025-0890 (CVSS 9.8), die am 4. Februar veröffentlicht wurde, das letzte Puzzleteil: extrem schwache Standardanmeldeinformationen für per Fernzugriff zugängliche Dienste – und zwar zusätzlich zum ohnehin unverschlüsselten Telnet-Authentifizierungsprozess.

Die Forscher von VulnCheck, die die Schwachstellen ursprünglich entdeckt hatten, wiesen darauf hin, dass der Hersteller die fehlerhaften Geräte weiterhin verkauft, obwohl er weiß, dass die Schwachstellen aktiv ausgenutzt werden, und nicht die Absicht hat, Patches herauszugeben. Am 25. Februar 2025 wurden einige der betroffenen Produkte immer noch über den offiziellen von Zyxel-Shop auf Amazon verkauft [1][2]. Darüber hinaus wird eine weitere Sicherheitslücke in Zyxel-Produkten, CVE-2024-11667, aktiv für Ransomware-Angriffe durch den Bedrohungsakteur Helldown ausgenutzt.

Im Bereich der Telekommunikationstechnologien hält Zyxel einen geschätzten Marktanteil von 4,19 % und beliefert rund 2.277 Unternehmen, darunter die größten Tech-Giganten der Welt. Die Zyxel-Gruppe mit Hauptsitz im Hsinchu Science Park, Taiwan, ist ein führender Anbieter von Netzwerklösungen für Unternehmen und Privatanwender und weltweit in über 150 Ländern tätig.

Chronik der Ereignisse

• 07.2024: VulnCheck informiert Zyxel über Sicherheitslücken in Produkten der CPE-Serie.
• 07.2024: VulnCheck veröffentlicht Informationen zu CVE-2024-40890 und CVE-2024-40891 im Blog.
• 01.2025: Aktive Ausnutzung von CVE-2024-40891 wurde von GreyNoise gemeldet.
• 02.2025: VulnCheck veröffentlichte weitere Informationen, die das Risiko, das von Zyxels Position ausgeht, hervorheben und Beweise dafür liefern, dass anfällige Geräte immer noch von dem Anbieter online verkauft werden.
• 02.2025: Zyxel veröffentlicht einen Sicherheitshinweis, der die betroffenen Produkte als EOL kennzeichnet und besagt, dass sie keine Updates erhalten werden.

Technische Beschreibungen der jüngsten Zyxel-Schwachstellen

Abgesehen von der langsamen Reaktion von Zyxel auf Sicherheitsforscher und der Entscheidung, weiterhin Produkte mit ausnutzbaren Schwachstellen zu verkaufen, gibt es noch weitere Lehren aus der technischen Bewertung der Schwachstellen selbst zu ziehen. Nämlich, wie Produktanbieter weiterhin Produkte mit unverzeihlichen Sicherheitsmängeln vermarkten und sich dabei vor der Verantwortung drücken.

• CVE-2024-40891 (CVSS 8.8 Hoch): Authentifizierte Benutzer können eine Telnet-Command-Injection aufgrund einer unsachgemäßen Eingabevalidierung in `libcms_cli.so` Befehle werden ungeprüft an eine Shell-Ausführungsfunktion weitergegeben, was eine beliebige RCE ermöglicht. Abgesehen von der Überprüfung, ob der Befehlsstring mit einem zugelassenen Befehl beginnt, hat die Funktion `prctl_runCommandInShellWithTimeout` keine Filterung, was die Verkettung von Befehlen und das Einschleusen beliebiger Befehle ermöglicht.
• CVE-2024-40890 (CVSS 8.8 Hoch): Eine Post-Authentication Command-Injection-Schwachstelle im CGI-Programm der Legacy-DSL Zyxel VMG4325-B10A Firmware Version 1.00(AAFR.4)C0_20170615 könnte es einem authentifizierten Angreifer ermöglichen, Betriebssystembefehle auf einem betroffenen Gerät auszuführen, indem er eine manipulierte HTTP-POST-Anfrage sendet.
• CVE-2025-0890 (CVSS 9.8 Kritisch): Die Geräte verwenden schwache Standard-Anmeldeinformationen wie die Benutzernamen und Passwörter admin:1234, zyuser:1234 und supervisor:zyad1234. Keines dieser Konten ist über die Weboberfläche sichtbar, kann aber in der Datei `/etc/default.cfg` des Geräts gefunden werden. Diese Standard-Anmeldeinformationen sind Angreifern bekannt. Die Konten „supervisor“ und „zyuser“ können beide über Telnet aus der Ferne auf Geräte zugreifen. „supervisor“ hat versteckte Rechte, die vollen Systemzugriff gewähren, während „zyuser“ immer noch CVE-2024-40891 für RCE ausnutzen kann. Die Verwendung solcher Standard-Anmeldeinformationen verstößt gegen die CISA-Verpflichtung “Secure by Design“ und gegen den kommenden Cyber Resilience Act (CRA) der EU.

Zu den betroffenen Produkten gehören die Zyxel VMG1312-B Serie (VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A) und zwei Router der Zyxel Business Gateway Serie (SBG3300 und SBG3500). Die Geräte der Zyxel CPE-Serie (Customer Premises Equipment) sind für die Internetanbindung von Privathaushalten und kleinen Unternehmen konzipiert, z. B. als DSL-, Glasfaser- und Wireless-Gateways. Als solche werden sie in der Regel beim Kunden installiert, um ihn mit dem Netzwerk eines Internet Service Providers (ISP) zu verbinden, und sind daher nicht ohne weiteres durch Firewalls vor dem Internet geschützt. In Anbetracht der Art der Zyxel CPE-Geräte und der fraglichen Schwachstellen wäre es nicht überraschend, wenn Zehntausende oder mehr Zyxel-Geräte an bösartigen Botnet-Aktivitäten beteiligt wären.

Greenbone kann EOL Zyxel-Geräte erkennen, die für die oben genannten CVEs anfällig sind.

CVE-2024-11667: Zyxel-Firewalls für Ransomware-Angriffe ausgenutzt

CVE-2024-11667 (CVSS 9.8 Critical), veröffentlicht Ende Dezember 2024, ist ein Path-Traversal-Fehler [CWE-22] in der Web-Management-Konsole der Zyxel ATP- und USG FLEX-Firewall-Serie. Die Schwachstelle wird bekanntermaßen ausgenutzt vom Helldown-Bedrohungsakteur in Ransomware-Angriffen und ist Gegenstand mehrerer nationaler Cybersicherheitshinweise [1][2].

Die Ransomware-Gruppe Helldown tauchte im August 2024 als bemerkenswerter Bedrohungsakteur in der Cybersicherheitslandschaft auf. Diese Gruppe wendet eine doppelte Erpressungsstrategie an, bei der sie sensible Daten von Zielorganisationen exfiltriert und anschließend Ransomware zur Verschlüsselung der Systeme der Opfer einsetzt. Wenn die Lösegeldforderungen nicht erfüllt werden, droht Helldown damit, die gestohlenen Daten auf ihrer Data Leak Site zu veröffentlichen. Helldown nutzt nicht nur diese Zyxel-Schwachstellen aus, sondern ist auch dafür bekannt, Schwachstellen in Windows-Betriebssystemen, VMware ESX und Linux-Umgebungen auszunutzen, wobei häufig kompromittierte VPN-Anmeldedaten verwendet werden, um sich seitlich in Netzwerken zu bewegen.

Zyxel hat einen Hinweis auf die Ransomware-Angriffe und Patches für die betroffenen Produkte veröffentlicht. Greenbone kann Zyxel-Produkte, die von CVE-2024-11667 betroffen sind, mit drei separaten produktspezifischen Versionserkennungstests erkennen [1][2][3].

Zusammenfassung

Die Situation mit Zyxel scheint ein perfekter Sturm zu sein, der zu einer wichtigen Frage führt: Welche Möglichkeiten haben Kunden, wenn ein Anbieter eine Sicherheitslücke in seinem Produkt nicht schließt? Die EOL-Netzwerkgeräte von Zyxel werden nach wie vor aktiv ausgenutzt, mit Schwachstellen, die für unautorisierte willkürliche RCE und andere unautorisierte Aktionen kombiniert werden können. CVE-2024-40891, CVE-2024-40890 und CVE-2025-0890 stehen jetzt auf der KEV-Liste der CISA, während CVE-2024-11667 mit Ransomware-Angriffen in Verbindung gebracht wurde. Die Forscher von VulnCheck, die mehrere dieser CVEs entdeckt haben, haben Zyxel für die schlechte Kommunikation und den Verkauf von ungepatchten EOL-Geräten kritisiert. Greenbone erkennt betroffene Produkte, und mit dem proaktiven Ansatz für das Schwachstellenmanagement können Benutzer die Gefährdung verringern.