ISGroup Cybersicherheitsberatung

Schwere Zero-Day-Schwachstellen vom Typ Command Injection in Zyxel CPE-Geräten (CVE-2024-40891) werden aktiv ausgenutzt

Eine neue Zero-Day-Schwachstelle vom Typ Command Injection, identifiziert als CVE-2024-40891, betrifft Zyxel-Geräte der CPE-Serie und setzt weltweit über 1.500 aus dem Internet erreichbare Geräte potenziellen Angriffen aus. Sicherheitsforscher beobachten seit dem 21. Januar 2025 aktive Ausnutzungsversuche, bei denen Angreifer unbefugte Konten wie „supervisor“ oder „zyuser“ verwenden, um die Kontrolle über das System zu erlangen. Trotz der Schwere der Sicherheitslücke hat Zyxel bisher weder eine offizielle Warnung noch einen Korrektur-Patch veröffentlicht.

Datum03.02.2025 09:26:25
Informationen
  • Aktive Ausnutzung

Technische Zusammenfassung

CVE-2024-40891 ist eine kritische Remote-Command-Injection-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, über Telnet beliebige Befehle auf betroffenen Zyxel CPE-Geräten auszuführen. Diese Schwachstelle ähnelt CVE-2024-40890, die einen HTTP-basierten Angriffsvektor nutzte, während sich CVE-2024-40891 auf den Zugriff via Telnet konzentriert. Die Sicherheitslücke ermöglicht es Angreifern, die vollständige Kontrolle über das Gerät zu erlangen, was schwerwiegende Folgen wie Datendiebstahl, Netzwerkkompromittierung und großflächige Botnetz-Infektionen haben kann.

Forscher von GreyNoise und VulnCheck haben die aktive Ausnutzung der Schwachstelle bestätigt. Angreifer nahmen die betroffenen Geräte kurz nachdem das Problem bestimmten Sicherheitspartnern gemeldet wurde ins Visier. Aufgrund der hohen Anzahl an Angriffen haben die Forscher das Problem öffentlich gemacht, um das Bewusstsein zu schärfen und Verteidigungsmaßnahmen zu fördern.

Empfehlungen

Bis ein offizieller Patch verfügbar ist, sollten Unternehmen, die Geräte der Zyxel CPE-Serie einsetzen, die folgenden Maßnahmen zur Risikominderung ergreifen:

  • Netzwerkverkehr überwachen: Überwachen Sie aktiv Telnet-Verbindungen auf Zyxel-Geräten, um verdächtige Aktivitäten zu erkennen.
  • Zugriff einschränken: Erlauben Sie administrativen Zugriff nur von vertrauenswürdigen IP-Adressen aus und deaktivieren Sie die Fernverwaltung, falls diese nicht benötigt wird.
  • Hersteller-Updates anwenden: Überprüfen Sie regelmäßig die Verfügbarkeit von Zyxel-Sicherheitshinweisen und spielen Sie Patches sofort nach deren Veröffentlichung ein.
  • Nicht mehr unterstützte Geräte deaktivieren: Ersetzen Sie Geräte, die nicht mehr vom Hersteller unterstützt werden, um die Anfälligkeit für zukünftige Bedrohungen zu verringern.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *