TS-Doctor 3.0 www.cypheros.de

Autor Thema: Zyxel-Produkte mit Hintertür  (Gelesen 909 mal)

Cypheros

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 8431
    • Cypheros Software Seite
Zyxel-Produkte mit Hintertür
« am: Januar 06, 2021, 00:11:05 »
Nach einem Artikel bei Heise.de hat die chinesische Firma Zyxel in einige Ihrer Produkte (Firewalls, Access Points) offenbar Hinterüren eingebaut.

Artikel bei Heise.de: https://www.heise.de/news/Zyxel-hat-Backdoor-fix-in-Firewalls-einprogrammiert-5002067.html

Auch wenn ich schon vor über 20 Jahren selbst von Zyxel-Modems vollkommen überzeugt war, zeigt diese Panne, dass man chinesischen Produkten immer mit ausreichender Skepsis begegnen und wenn möglich nicht in sicherheitrelevaten Anwendungen einsetzen sollte.

Interessant ist die Möglichkeit über die Hintertür einen Root-Account anlegen zu können mit dem Namen "NsaRescueAngel". Ist das chinesische Ironie?

« Letzte Änderung: Januar 06, 2021, 17:15:18 von Cypheros »

Kiraly-Cutter

  • Full Member
  • ***
  • Beiträge: 217
  • von einer királynő erwarte keinen Dank
Re: Zyxel-Produkte mit Hintertür
« Antwort #1 am: Januar 06, 2021, 15:03:18 »
Nsa steht für Not Secure Account.  ;D
VU+ Solo 4K, inspiziert von Cyra.Kiraly@*** für
Nachtvogel
Falkenweg Komplex Nr. -i³
Ruine Falkenburg (Detmold, Germany)

xa89

  • Full Member
  • ***
  • Beiträge: 150
  • *MIV
Re: Zyxel-Produkte mit Hintertür
« Antwort #2 am: März 13, 2021, 13:53:41 »
Hm, hat nicht jede anspruchsvolle Software eine Hintertür beim Anmelden ?
Das ist so auch in der Firma bei der ich derzeit meine Rente mit einem Vollzeitjob aufbessere.

Das war wohl eine Panne mit der zusätzlichen Hintertür.  ;D
Die Meinung aus dem heise-Forum sollte zutreffen:
Ganz so dumm, einen festen Zugang mit Klartextpasswort einzubauen,
ist längst niemand mehr, und auch ein Geheimdienst wird sich nicht
durch eine dermaßen exponierte Backdoor kompromittieren.
Dürfte also ehe eine Entwicklungs-/Debug-Option sein,
die (wegen fehlender oder fehlerhafter Conditionals) im Release stehengelassen wurde.


Bei heise gibt es manchmal Online Videokonferenzen:
https://heise-onlinekonferenzen.de/agile-con

Wer hat noch teilgenommen ? (die Teilnahme ist nicht kostenlos)

Wegen der Unschärferelation von Sein und Nichtsein haben wir unsere Gegenwart (das Jetzt).

Mam

  • Hero Member
  • *****
  • Beiträge: 3983
Re: Zyxel-Produkte mit Hintertür
« Antwort #3 am: März 13, 2021, 14:31:15 »
Na ja, Backdoors in Firewalls sind recht verbreitet, denn ein vergessenes Passwort bedeutet hier, dass eine ganze Firma auf einmal ohne Internetzugang dasteht oder ein gekündigter Admin mal eben von zuhause aus etwas Rache nimmt.

Auch ich habe in den 90ern jedes System/Standort mit einem fixen User/Passwort mit Adminrechten eingerichtet. Schon alleine aus Personalnot, wenn man nur einen Admin für 30 Städte hat, dann erlaubt man entweder Fernwartung oder einen Diensthelikopter (wir brauchten häufig beides und auch mal ab und an ein Schnellboot). Und wenn der schlecht ausgebildete Admin (war vorher wohl mal "Fahrer vom Scheff" oder Ähnliches) nicht weiterkommt, muss auch noch der Spezialist rangekarrt werden... Wenn dann die Fahrtkosten und Reisezeiten in den sechsstelligen Bereich driften, wird Fernwartung ganz schnell angeordnet...

Die Backdoor selber ist erstmal harmlos, selbst wenn das Passwort allgemein bekannt ist.

Der Fehler, den leider die meisten machen, ist solch einen Zugriff dann auch allgemein und auch von aussen zu erlauben!
Jeder Firewall kann ganz einfach eine Regel bekommen, die SSH auf interne Ports oder nur bestimmte Adressen limitiert, die Leute sind nur zu faul, sie einzugeben. Und man kann den externen Zugriff zudem über VPNs absichern.

Und jeder "bessere" Firewall hat eh einen extra Managementport, nur an diesem sind dann solche Zugriffe überhaupt möglich. Wenn die Leute natürlich so dämlich sind, diesen mit auf das Hauptlan zu stecken....

Ein richtiges Problem sind natürlch Backdoors, die erstmal keiner kennt. Da werden die Leute dann nicht ganz zu unrecht lurig und vergessen die wichtigen Einstellungen schon mal. Deshalb sind solche Hinweise von der CT oder vom BSI (da kann man z.B. einen security newsletter abonnieren, die warnen per mail und das sogar recht zeitnah) wichtig.



xa89

  • Full Member
  • ***
  • Beiträge: 150
  • *MIV
Re: Zyxel-Produkte mit Hintertür
« Antwort #4 am: März 13, 2021, 15:56:23 »
Die von mir eingebaute Hintertür für vergessliche Admins hatte ein Zeitpasswort, gültig einen Tag.
Dies musste vom Admin beim Support angefragt werden.
Der Support hat dann mit einem Programm das aktuelle Kennwort für den Kunden errechnet aus Merkmalen der Hardware und dem aktuellen Tag.
Dieses Kennwort wurde wahrscheinlich am Telefon dem Kunden mitgeteilt (oder E-Mail).
Für andere Anwender ist das gegebene Kennwort nutzlos wenn sie es zufällig erfahren.
Wegen der Unschärferelation von Sein und Nichtsein haben wir unsere Gegenwart (das Jetzt).

Mam

  • Hero Member
  • *****
  • Beiträge: 3983
Re: Zyxel-Produkte mit Hintertür
« Antwort #5 am: März 13, 2021, 16:01:36 »
Die von mir eingebaute Hintertür für vergessliche Admins hatte ein Zeitpasswort, gültig einen Tag.
Ich dachte, die kranke Idee mit "Security thru Obfiscation" wäre schon seit 20 Jahren ad absurdum geführt worden und inzwischen ausgestorben???

Für Deine Hintertür braucht man also nur einen kleinen KeyGen, den man wahrscheinlich recht günstig in China oder Russland bestellen kann...

xa89

  • Full Member
  • ***
  • Beiträge: 150
  • *MIV
Re: Zyxel-Produkte mit Hintertür
« Antwort #6 am: März 13, 2021, 19:49:34 »
Ja, die Hintertür habe ich in den 90ern geschrieben und der Chef der mich beauftragt hat ist auch schon verstorben. Der Schlüssel (abhängig von der Hardware des Kunden und Tagesdatum) hat wohl damals genügt.
Es wurden aber auch noch andere Daten (30 Buchstaben) beim Errechnen des Keys verwendet. Diese Daten stehen nur im Programm des Herstellers.
Ich denke beim Ablegen von verschlüsselten HD+ Videodateien werden auch Daten der Hardware (Receiver) verwendet. 
« Letzte Änderung: März 13, 2021, 20:28:35 von xa89 »
Wegen der Unschärferelation von Sein und Nichtsein haben wir unsere Gegenwart (das Jetzt).

xa89

  • Full Member
  • ***
  • Beiträge: 150
  • *MIV
Re: Zyxel-Produkte mit Hintertür
« Antwort #7 am: März 13, 2021, 21:08:15 »
Man sollte auch bedenken, dass man bei vielen Anwendungen (beim Kunden) gesperrt wird nach dem dreimaligen Eintippen eines falschen Kennworts und sich beim Administrator melden muss.
Bei der Hintertür würde es dann z.B. eine Zeitsperre für eine Stunde geben.
Beim Anmelden am PC darf man sich oft vertippen bei der Eingabe des Kennworts.  ;D
Wegen der Unschärferelation von Sein und Nichtsein haben wir unsere Gegenwart (das Jetzt).

 


www.cypheros.de