Zyxel: mehrere NAS-Produkte von kritischer Sicherheitslücke betroffen

Mehrere NAS-Modelle von Zyxel sind derzeit von einer kritischen Sicherheitslücke betroffen, berichtet inside-it.ch. Demnach sind verschiedene NAS-Modelle über eine als kritisch eingestufte Security-Lücke (CVE-2020-9054) angreifbar. Das CERT der Carnegie Mellon University bewertet die Schwachstelle mit einem Base-Score von 10 (höchster Score).

Betroffen sind laut Zyxel (Englisch) die NAS-Produkte mit der Firmware-Version V5.21 oder früher.

Hersteller Zyxel empfiehlt den Kunden «eindringlich», zuerst die Hotfixes (siehe Tabelle) zu installieren und anschliessend die Firmware-Patches, sobald sie im März verfügbar sind.

Von der Lücke betroffen sind ausserdem Geräte, die von Zyxel nicht mehr unterstützt werden. Das sind die Modelle: NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 und NSA325v2. Anwendern rät Zyxel, diese nicht direkt ans Internet anzuschliessen, bzw. sie zusätzlich abzusichern. 

Entdeckt wurde die Lücke von Alex Holden, dem Gründer der Sicherheitsfirma Hold Security. Laut krebsonsecurity.com (Englisch) hatte er eine Kopie des Exploit-Codes erhalten, der es einem Angreifer ermöglicht, mehr als ein Dutzend Arten von Zyxel-NAS-Produkten aus der Ferne zu kompromittieren. Gemäss KrebsOnSecurity wurden die Anweisungen zur Ausnutzung der Schwachstelle in Untergrundforen für 20'000 US-Dollar verkauft.