DSL CPE Devices

Die Schwachstelle betrifft ältere DSL-CPE-Geräte von Zyxel – also Endgeräte wie DSL-Router und Modems, die beim Kunden vor Ort betrieben werden. Der Fehler steckt im CGI-Programm der Web-Verwaltung, das eingehende Anfragen verarbeitet. Über eine eigens präparierte HTTP-POST-Anfrage kann ein Angreifer eigene Betriebssystembefehle in das Gerät einschleusen und ausführen lassen. Voraussetzung ist allerdings, dass der Angreifer bereits angemeldet ist (Post-Authentication): Er benötigt gültige Zugangsdaten oder eine bestehende Sitzung, bevor er die Lücke ausnutzen kann. Gelingt ihm das, kann er auf Betriebssystemebene beliebige Kommandos absetzen und so die Kontrolle über das Gerät übernehmen. Besonders heikel ist, dass es sich um Altgeräte handelt, die vom Hersteller nicht mehr unterstützt werden und keine Sicherheitsaktualisierungen mehr erhalten – die Lücke bleibt dort also dauerhaft bestehen.