Derzeit hat es eine Mirai-Botnet-Malware auf bestimmte Routermodelle von Zyxel abgesehen. Weil der Support ausgelaufen ist, müssen Admins jetzt handeln.
Der Support für mehrere Zyxel-Router ist dem Hersteller zufolge schon seit mehreren Jahren ausgelaufen. Demzufolge sollten die Geräte nicht mehr genutzt werden. Aktuell laufende Attacken verschärfen die Situation.
Jetzt handeln!
In einem Beitrag führt Zyxel aus, dass die betroffenen Router aufgrund des Supportendes keine Sicherheitsupdates mehr bekommen und verwundbar bleiben. Wer so ein Gerät noch einsetzt, sollte es aufgrund der derzeit laufenden Attacken durch eine Mirai-Botnet-Malware zügig aus dem Verkehr ziehen und durch einen aktuellen Router ersetzen.
Konkret geht es um diese Modelle:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
Backdoor
Setzen Angreifer erfolgreich an den Lücken (CVE-2024-40890, Risiko “hoch“; CVE-2024-40891, “hoch“; CVE-2025-0890, “kritisch“) an, können sie unter anderem aufgrund von unsicheren Standard-Zugangsdaten (supervisor:zyad1234, admin:1234, zyuser:1234) für eine Telnet-Verbindung über das Managementinterface die Zugangsdaten für Admins ändern. In so einer Position ist davon auszugehen, dass Angreifer Geräte vollständig kompromittieren. Die Zyxel-Entwickler schreiben, dass Telnet aber standardmäßig nicht aktiviert ist.
Außerdem ist es möglich, dass Angreifer Kommandos auf der Systemebene ausführen können. Zurzeit kombinieren Angreifer die Lücken, um Schadcode auszuführen.
In welchem Umfang die derzeitigen Attacken ablaufen, ist bislang unklar. Sicherheitsforscher von VulnCheck erläutern in einem Beitrag, dass rund 1500 verwundbare Router öffentlich über das Internet erreichbar sind. Admins sollten umgehend reagieren. Überdies kann man einige der betroffenen Routermodelle sogar noch im Handel kaufen.