NAS-Modelle
26.02.2020, 12:13 Uhr
Zyxel: mehrere NAS-Produkte von kritischer Sicherheitslücke betroffen
Verschiedene NAS-Modelle von Zyxel sind über eine Schwachstelle angreifbar. Ein Hotfix ist verfügar, ein Patch folgt im März.
Mehrere NAS-Modelle von Zyxel sind derzeit von einer kritischen Sicherheitslücke betroffen, berichtet inside-it.ch. Demnach sind verschiedene NAS-Modelle über eine als kritisch eingestufte Security-Lücke (CVE-2020-9054) angreifbar. Das CERT der Carnegie Mellon University bewertet die Schwachstelle mit einem Base-Score von 10 (höchster Score).
Betroffen sind laut Zyxel (Englisch) die NAS-Produkte mit der Firmware-Version V5.21 oder früher.
- NAS326
- NAS520
- NAS540
- NAS542
Hersteller Zyxel empfiehlt den Kunden «eindringlich», zuerst die Hotfixes (siehe Tabelle) zu installieren und anschliessend die Firmware-Patches, sobald sie im März verfügbar sind.
Von der Lücke betroffen sind ausserdem Geräte, die von Zyxel nicht mehr unterstützt werden. Das sind die Modelle: NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 und NSA325v2. Anwendern rät Zyxel, diese nicht direkt ans Internet anzuschliessen, bzw. sie zusätzlich abzusichern.
Entdeckt wurde die Lücke von Alex Holden, dem Gründer der Sicherheitsfirma Hold Security. Laut krebsonsecurity.com (Englisch) hatte er eine Kopie des Exploit-Codes erhalten, der es einem Angreifer ermöglicht, mehr als ein Dutzend Arten von Zyxel-NAS-Produkten aus der Ferne zu kompromittieren. Gemäss KrebsOnSecurity wurden die Anweisungen zur Ausnutzung der Schwachstelle in Untergrundforen für 20'000 US-Dollar verkauft.
Kommentare
Es sind keine Kommentare vorhanden.