Heise: Zyxel hat Backdoor in Firewalls einprogrammiert

Mitglied: em-pie

em-pie (Level 4) - Jetzt verbinden

04.01.2021, aktualisiert 07:56 Uhr, 2261 Aufrufe, 26 Kommentare, 7 Danke

Hallo zusammen,

Wer ein Endgerät (UTM/ Firewall/ AP) von Zyxel besitzt, sollte aufgrund fest hinterlegter und nicht änderbarer Zugangsdaten mal ein Update einspielen:

https://www.heise.de/amp/news/Zyxel-hat-Backdoor-fix-in-Firewalls-einpro ...

Gruß
em-pie
Mitglied: Visucius
04.01.2021 um 08:30 Uhr
"Zyxel Networks hat die Sicherheitslücke nach eigenen Angaben für automatische Firmware-Updates via FTP geschaffen. "


... na denne :) face-smile
Bitte warten ..
Mitglied: it-fraggle
04.01.2021 um 09:13 Uhr
Da staunt man immer wieder
Bitte warten ..
Mitglied: VGem-e
04.01.2021 um 09:38 Uhr
Moin,

wer weiß, welcher andere Hersteller so etwas nicht auch eingebaut hat und der "Fehler" so nur noch nicht bekannt ist?

Gute/böse EDV-Welt...

Gruß
Bitte warten ..
Mitglied: dertowa
04.01.2021 um 10:20 Uhr
Wahnsinn, es gibt Dinge die gibt's nicht.
Wusste nicht, dass Zyxel auch schon Praktikanten an die Software lässt.
Bitte warten ..
Mitglied: Visucius
04.01.2021 um 10:22 Uhr
Zitat von VGem-e:
wer weiß, welcher andere Hersteller so etwas nicht auch eingebaut hat und der "Fehler" so nur noch nicht bekannt ist?

Im Zweifel sollte man immer mal bei Cisco nachsehen ;-) face-wink
Bitte warten ..
Mitglied: IT-Spezi
04.01.2021, aktualisiert um 10:35 Uhr
Zitat von Visucius:
Im Zweifel sollte man immer mal bei Cisco nachsehen ;-) face-wink

Ja klar! Cisco hatte ja in letzter Zeit ja "kaum" Sicherheitslücken. ;-) face-wink
(Router, Switches, WebEx, Security Manager. ...)

Gruß

its
Bitte warten ..
Mitglied: Visucius
04.01.2021, aktualisiert um 11:26 Uhr
... so war das auch gemeint ;-) face-wink

Wobei hier ja schon argumentiert wurde, dass die Veröffentlichung der Fehler bei Cisco ein bzw. das "Profi-Feature" sei ...
Bitte warten ..
Mitglied: maretz
04.01.2021 um 11:23 Uhr
Und selbst bei groben Bugs bei Cisco das Update für DEREN Fehler nur dann erhältlich is wenn man auch nen Supportvertrag hat.. Eigentlich nicht blöd - Erst verkaufe ich was mit Fehlern, dann lasse ich mir das beseitigen der Fehler auch noch mal pro Jahr bezahlen (und natürlich sind die Updates dann auch wieder mit Fehlern die was anderes zerlegen...)
Bitte warten ..
Mitglied: aqui
04.01.2021 um 11:35 Uhr
Nicht ganz... Solange das Gerät noch in der gesetzlichen Gewährleistung ist bekommst du immer ein kostenloses Update.
Bitte warten ..
Mitglied: Looser27
04.01.2021 um 12:50 Uhr
Sicherheitsupdates sollten IMMER kostenlos sein.
Aber da ist Cisco nicht alleine.....leider.
Bitte warten ..
Mitglied: incisor2k
04.01.2021 um 12:54 Uhr
Hallo zusammen und ein gesundes neues Jahr noch! Man könnte meinen, dies sei "ein mögliches Ergebnis von falschen Personen am falschen Platz" [...]
*Ironie aus*

Guten Start in die Woche für alle, die schon wieder fleißig sein dürfen / müssen.
Bitte warten ..
Mitglied: altmetaller
04.01.2021 um 18:26 Uhr
Hallo,

ohne Studium des Quellcodes davon zu träumen, dass ClosedSource sicher ist, ist schon ziemlich grotesk.

Gilt natürlich auch für LANCOM, Cisco, Juniper und wie sie alle heißen...

Gruß,
Jörg
Bitte warten ..
Mitglied: IT-Spezi
04.01.2021 um 19:44 Uhr
Hallo!

Zitat von altmetaller:
ohne Studium des Quellcodes davon zu träumen, dass ClosedSource sicher ist, ist schon ziemlich grotesk.

Aber zu glauben dass OpenSource besser sei, nur weil man den Code studieren kann, ist genauso grotesk.
(Nur um das klar zu stellen: Ich liebe OpenSource! Ich setzte OpenSource-Software jeden Tag gerne ein.)
Wenn sich keiner um den Code kümmert, dann bleiben auch die Lücken.

Beispile Linux:
LZO - Sichheitslücke war 20 Jahre offen
Userspace-Krypto-API - Sichheitslücke war 10 Jahre offen
SOCKOPS_WRAP - Sichheitslücke war 8 Jahre offen
Dirty-Cow - Sichheitslücke war 10 Jahre offen
Speicherverwaltung - Sichheitslücke war 20 Jahre offen
...

Gruß

its
Bitte warten ..
Mitglied: altmetaller
04.01.2021 um 20:09 Uhr
Hallo,

Wenn sich keiner um den Code kümmert, dann bleiben auch die Lücken.

Du verwechselst gerade Sicherheitslücken (die zum Zeitpunkt der Codeerstellung noch gar nicht relevant waren - siehe z.B. PPTP) und bewusst eingebaute Backdoors.

Ich habe durchaus Kunden, die Regierungen Informationen vorenthalten müssen (z.B. die Kalkulationsgrundlagen für öffentliche Aufträge). Und ich war auch schon in Firmen tätig, in denen für Microsoft, Google, SAP usw. usf. programmiert wird. Da ginge es dann unter Umständen nicht nur um das betriebsinterne Rechenwerk, sondern auch um das geistige Eigentum.

Gruß,
Jörg
Bitte warten ..
Mitglied: IT-Spezi
04.01.2021 um 22:01 Uhr
Zitat von altmetaller:
Du verwechselst gerade Sicherheitslücken (die zum Zeitpunkt der Codeerstellung noch gar nicht relevant waren - siehe z.B. PPTP) und bewusst eingebaute Backdoors.

Ich meinte nur, dass OpenSource kein Garant für einen sauberen Code ist. Die RICHTIGEN müssen sich halt um den Code kümmern, ohne Kontrolle geht es auch da nicht.

Ich erinnere mich noch vage, als Anfang des Jahrtausends (ca. 2001) herauskam, dass eine Backdoor im Kernel 2.4 war, die bereits 1997 eingeschleust wurde. Nur erst Jahre später wurde sie halt entdeckt. Trotz OpenSource. Niemand hatte Lust die damals 3,5 Millionen Zeilen zu durchforsten. Die NSA hat mehrfach versucht (nachweislich in den 90ern, 2003 und 2013) Backdoors zu implementieren.
Die (Open)SSH Backdoor (war keine Sicherheitslücke, sondern eine bewusste Backdoor und) wurde glücklicherweise 2019 offen gelegt. (Darum schwebte eine ganze Backdoor Galaxie.)

Auf aktuelle Backdoors möchte ich da gar nicht eingehen, schon aufgrund der Forenregeln.

Nochmals, ich bin ein echter Freund von OpenSource. Aber ich liebe noch mehr sauberen Code.
Ich bin kein Freund von Backdoors, so gut sie auch gemeint sein mögen. Weder in Open- noch ClosedSource. Irgendwann werden sie immer entdeckt und dann missbraucht.

Fast jeder möchte sein Werk irgenwie geschützt sehen. Verständlicherweise. Nur Backdoors sind dafür nach meiner Meinung ein ungeeignetes Mittel. Und sie können sicherlich nicht dafür eingesetzt werden um Regierungen Informationen vorzuenthalten. Die Backdoors dienen eher dazu zusätzliche Informationen oder Kontrolle zu verschaffen.

Gruß

its
Bitte warten ..
Mitglied: sk
04.01.2021, aktualisiert um 22:41 Uhr
Zitat von altmetaller:
Ich habe durchaus Kunden, die Regierungen Informationen vorenthalten müssen (z.B. die Kalkulationsgrundlagen für öffentliche Aufträge).

Nunja. Nichts gegen berechtigte Geheimhaltungsinteressen und nichts gegen ein gesundes Misstrauen gegenüber staatlichen Institutionen und Organisationen, aber gerade bei öffentlichen Aufträgen kann man sowohl gesetzlich als auch vertraglich verpflichtet sein, die eigenen Kalkulationsgrundlagen gegenüber dem öffentlichen Auftraggeber offen zu legen. Beispielsweise im Rahmen der Auskömmlichkeitsprüfung während des Vergabeverfahrens oder bei der Unterbreitung von Nachtragsangeboten, bei Anwendung von Lohngleitklauseln oder sonstigen Preisanpassungsklauseln u.v.m.

Gruß
sk
Bitte warten ..
Mitglied: Dr.Bit
05.01.2021 um 11:47 Uhr
Zitat von VGem-e:

wer weiß, welcher andere Hersteller so etwas nicht auch eingebaut hat und der "Fehler" so nur noch nicht bekannt ist?

Wenn die Dinger aus AmiLand kommen behaupte ich mal -> alle. Wie sollten die geheimdienste denn ansonsten die geräte ausspionieren? Nicht jeder setzt Windows ein und man muß doch trotzdem an die Daten kommen.

🖖
Bitte warten ..
Mitglied: aqui
05.01.2021 um 12:00 Uhr
So so...und alles was aus China kommt ist dann potentiell sicher ??
Nicht einmal bei europäischen Firmen ist das so:
https://www.br.de/nachrichten/netzwelt/cryptoleaks-wie-bnd-und-cia-gemei ...
Bitte warten ..
Mitglied: Looser27
05.01.2021 um 12:02 Uhr
Man sollte sich immer VORHER überlegen, was man an kritischen Punkten für Hersteller einsetzen möchte.
Bitte warten ..
Mitglied: Dr.Bit
05.01.2021 um 12:06 Uhr
Zitat von aqui:

und alles was aus China kommt ist dann potentiell sicher ??

Wohl eher nicht, aber auch nicht schlimmer.

Nicht einmal bei europäischen Firmen ist das so:

Aber bei den Meisten. DSGVO und so. Das kann teuer werden, wenn da jemand was findet.

🖖
Bitte warten ..
Mitglied: Visucius
05.01.2021, aktualisiert um 12:31 Uhr
Zitat von Dr.Bit:
Aber bei den Meisten. DSGVO und so. Das kann teuer werden, wenn da jemand was findet.

Echt, ist das so?

Bekannte mit kleiner Praxis ruft mich vor 2 Wochen an, das Gesundheitswesen möchte zukünftig das IT-Sicherheits-Nirgendwo äh Niveau weiter erhöhen. Fritzbox ist jetzt des Teufels, zukünftig macht das "SICHERE PRAXIS IT" mit was "professionellem" für 29 EUR/Monat. Die machen dann auch (von extern) Updates und Firewall-Überwachung ;-) face-wink

Bin ja mal gespannt, was die da für diese Gelddruckmaschine an HW verbauen!

Ich sehe nur: Ist ne GmbH mit Stammkapital 25.000 vor ner Woche im HR eingetragen für irgendwas mit "Gesundheits-Cloud", im Zweifel mit guten Connection in die Politik und ner Anwaltskanzlei an der Hand um die Verantwortung "gerecht" zu verteilen ;-) face-wink

Und 1-2 Tage später lese ich dann das Ergebnis der letzten IT-Sicherheits-Kraftanstrengung unserer IT-Novizen:
https://www.heise.de/news/Sicherheitsmaengel-in-Kartenterminals-und-Kran ...
Bitte warten ..
Mitglied: Dr.Bit
05.01.2021, aktualisiert um 13:34 Uhr
Deswegen: "Das KANN teuer werden" Und das nicht alles Gold ist was glänzt, sollte jedem klar sein. Ich persönlich (bezogen auf den Link und die Krankenkasen Apps) würde auch erwarten, daß mir meine Kasse eine sichere App zur Verfügung stellt bzw. Eine nennt, für die die dann auch verantwortlich zeichnen.

🖖
Bitte warten ..
Mitglied: altmetaller
05.01.2021, aktualisiert um 13:12 Uhr
Hallo,

Zitat von sk:

aber gerade bei öffentlichen Aufträgen kann man sowohl gesetzlich als auch vertraglich verpflichtet sein, die eigenen Kalkulationsgrundlagen gegenüber dem öffentlichen Auftraggeber offen zu legen

Japp. In der Praxis ist das allerdings so, dass derartige Bedingungen im Vorfeld offengelegt werden müssen und dass die "guten" Unternehmen da gar nicht erst mitbieten.

Du glaubst ja gar nicht, wie viele öffentliche Aufträge über den Deister gehen bzw. ausgesessen werden, weil ich niemand findet, der sich auf die Ausscheibungsmodalitäten einlässt. Das, was sich da erniedrigt, ist häufig nur der Bodensatz. Ich selber habe das z.B. schon bei der Bundeswehr erlebt. Wenn Du da in eine Ausschreibung guckst, werden tatsächlich noch Begriffe wie "MS-DOS" und "Telefax" erwähnt - das geht hier sofort in den Ofen^^

Gruß,
Jörg
Bitte warten ..
Mitglied: Visucius
05.01.2021 um 13:30 Uhr
Ja, natürlich aber nur für Hinz und Kunz.


Alle die ganz groß auf die Sicherheits-Kacke hauen haben immer mehrere Ebenen um die Verantwortung - die bei den Preisverhandlungen natürlich riesig ist - auch ganz sicher von sich weg zu schieben.

Ist ja jetzt nicht so, als ob z.B. Cisco auf Grund von Kundenklagen bzgl. Ihrer programmierten Backdoors vor der Pleite steht.

Und so läuft das doch seit Jahren: Auf der einen Seite steigt der Aufwand, die Sicherheitsvorgaben und die Kosten dafür ins fast schon unermessliche .... und auf der anderen Seite zahlt dann doch niemand, wenn Du es ausreizt.
Bitte warten ..
Mitglied: altmetaller
05.01.2021 um 15:05 Uhr
Hallo,

eben!

Ich bin weitestgehend von diesem eierlegenden Wollmilchsaukack ab.

Gerade LANCOM & Co. hat immer mehr von „Nero - Burning ROM“. Ein Router ist nun mal kein Printserver und auch keine Telefonanlage.

Gruß,
Jörg
Bitte warten ..
Mitglied: Palestinianvictory
15.01.2021 um 13:12 Uhr
LOL ja genau :) face-smile :) face-smile :) face-smile :) face-smile Ich lach mich tot !
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wohin mit alter (Server)Hardware?
insidERRVor 10 StundenFrageOff Topic33 Kommentare

Hallo zusammen. Nachdem unser Leasing nach 5 Jahren ausgelaufen ist, haben wir auf der Arbeit neue Server bekommen. Wieder sind es zwei Hosts für ...

Server-Hardware
RPI4 nicht zugreifbar
gelöst winlinVor 1 TagFrageServer-Hardware27 Kommentare

Hallo Zusammen, hoffe jemand kann mir helfen. Ich habe eine RPI4 gekauft. Habe mir zwei SD Karten genommen und auf einer LibreELEC und auf ...

Windows 10
PDF unterschreiben
ahussainVor 1 TagFrageWindows 1013 Kommentare

Hallo allerseits, ich suche (für einen Kunden) nach einem Weg, PDFs zu unterschreiben und dann per Mail zu verschicken. Ich sehe zwei Möglichkeiten: PDF ...

LAN, WAN, Wireless
WLAN Netz über LAN verstärken
PeterM200Vor 1 TagFrageLAN, WAN, Wireless18 Kommentare

Hallo zusammen! Ich bin neu hier, suche schon seit Stunden im Netz nach einer Lösung für mein Problem und habe mich nun entschlossen, hier ...

SAN, NAS, DAS
Privater NAS Server für günstig Geld
gelöst pavelruVor 1 TagFrageSAN, NAS, DAS9 Kommentare

Hallo Zusammen, Wir möchte für privat uns einen Speicher für Daten anlegen. Jetzt ist die Frage, welcher empfohlen wird? Wir möchten folgendes beinhalten: - ...

Router & Routing
LTE oder 5G im Wohnmobil
IT-ProfVor 1 TagFrageRouter & Routing16 Kommentare

Hallo Gemeinde, meine Frau hat ein Wohnmobil gekauft. Ganz viel Technik drin im LKW, aber kein Internet über die Hotspot Funktion des Smartphones hinaus. ...

Windows 10
Windows 10 Anmeldezeitenbeschränkung für Kinder
gelöst bastian23Vor 13 StundenFrageWindows 1014 Kommentare

Hallo, kennt jemand von Euch eine Lösung, um meine Kinder daran zu hintern ihre Notebooks nach z.B. 21 Uhr zu nutzen? Ein einfacher shutdown ...

Soziale Netzwerke
Kein Zugriff auf Facebook-Seite
micsonVor 1 TagFrageSoziale Netzwerke8 Kommentare

Hallo, wir betreiben schon recht lange eine Facebook-Seite. So lange, dass damals für die Erstellung der Seite noch kein Facebook-Profil erforderlich war. Die Seite ...