Kriminelle missbrauchen Sicherheitslücken in Zyxel-Firewalls, um sich Zugriff auf Netzwerke zu verschaffen. IT-Sicherheitsforscher haben beobachtet, wie sie danach die Ransomware Helldown eingesetzt haben, um Daten in großem Umfang zu exfiltrieren.
Anzeige
Das IT-Sicherheitsunternehmen Sekoia schreibt in einer Analyse, dass die Helldown-Ransomware noch recht jung ist und im August erstmals beschrieben wurde. Die Drahtzieher dahinter missbrauchen Schwachstellen, um Netzwerke von Opfern zu infiltrieren und die Ransomware zu verteilen. Auf der Data-Leakage-Site (DLS) der Gruppierung Helldown waren Anfang November 31 Opfer aufgelistet. Darunter auch Zyxel Europa, berichtet Sekoia.
Bei der Analyse fiel auf, dass mindestens acht Opfer IPSec-VPN-Zugriff mit Zyxel-Firewalls bereitstellten; zwei der Opfer haben ihre Zyxel-Firewalls offenbar durch welche anderer Hersteller ersetzt, nachdem sie kompromittiert wurden. In einer Sicherheitsmitteilung aus dem September warnte Zyxel vor einer Befehlsschmuggel-Lücke im IPSec-VPN in diversen Firewalls (CVE-2024-42057, CVSS 8.1, Risiko "hoch"), die die Firmware-Version 5.39 abdichten soll. Öffentlicher Exploit-Code sei bis Mitte November nicht gesichtet worden, erklärt Sekoia.
Dennoch haben Ende September mehrere Nutzerinnen und Nutzer im Zyxel-Forum von kompromittierten Firewalls mit dem verwundbaren Firmware-Stand 5.38 berichtet. Vermeintliche Konfigurationsdateien wurden hochgeladen, die jedoch base64-kodierte MIPS-ELF-Binärdateien enthielten, und neue Benutzer auf den Firewalls angelegt. Zyxel hat am 9. Oktober eine Exploit-Warnung veröffentlicht und gibt dort Hinweise, wie betroffene Geräte erkannt werden können sowie welche Maßnahmen zur Bereinigung Admins ergreifen können.
Die ganzen Indizien, die Sekoia gesammelt hat, deuten darauf hin, dass Zyxel-Firewalls gezielt von Helldown angegriffen werden, schreiben die Autoren. Die Ransomware ist nicht nur unter Windows lauffähig, sondern kann auch Linux-Systeme befallen. Zudem kann sie auch ESX-Server angreifen. Die Analyse von Sekoia geht noch weiter in die Details zu der Helldown-Ransomware und listet auch Indizien für einen Befall (Indicators of Compromise, IOCs) auf.
IT-Verantwortliche mit Zyxel-Firewalls sollten die bereitgestellten Firmware-Updates zügig installieren und die in der Exploit-Warnung von Zyxel verlinkten Anleitung zu einer empfohlenen, sicheren Firewall-Konfiguration umsetzen.
Anzeige
(
Kommentare