Angreifer könnten aus der Ferne auf einigen Firewalls und Hotspot Gateways von Zyxel Gast-Accounts anlegen und so beispielsweise auf Netzwerke zugreifen. Auch XSS-Attacken sind vorstellbar. Für die betroffenen Serien stehen Sicherheitsupdates zum Download bereit.

In einer Sicherheitswarnung listet Zyxel die verwundbaren Geräte der Serien UAG, USG, VPN und ZyWall auf. Die Schwachstellen (CVE-2019-12581, CVE-2019-12583) finden sich in der Free-Time-Komponente (free_time-failed.cgi und free_time.cgi). Ist eine Attacke erfolgreich, könnten Angreifer aufgrund einer fehlenden Zugriffsprüfung Gast-Accounts anlegen.

Das kann Einblicke in Netzwerke gewähren oder Geräte via DoS-Attacke zum Erliegen bringen. Diese Sicherheitslücke gilt als „kritisch“. Wenngleich die Rechte eines Gast-Kontos eingeschränkt sind und der Admin-Bereich gesperrt ist.

Setzen Angreifer an der anderen Schwachstelle an, könnten sie Cookies eines Gast-Accounts abgreifen. Der Bedrohungsgrad der Lücke gilt als „mittel“.

Sicherheitswarnung von Zyxel