Der Netzwerkhersteller Zyxel hat Sicherheitsupdates fuer eine kritische Schwachstelle in mehreren Router- und CPE-Produktlinien veroeffentlicht. Die Luecke ermoeglicht es entfernten Angreifern, ohne jegliche Authentifizierung beliebige Befehle auf betroffenen Geraeten auszufuehren. Besonders gefaehrdet sind Heimnutzer und kleine Unternehmen, die ihre Router oft jahrelang nahezu unveraendert betreiben.
CVE-2025-13942: Kritische UPnP-Schwachstelle in Zyxel-Routern
Die Schwachstelle CVE-2025-13942 betrifft die Implementierung von UPnP (Universal Plug and Play) auf verschiedenen Zyxel-Geraeten, darunter 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber-ONT-Endgeraete und drahtlose Repeater. UPnP dient eigentlich dazu, Ports im Router automatisch zu oeffnen, damit Anwendungen wie Games, VoIP oder P2P-Dienste ohne manuelle Konfiguration funktionieren.
In der Zyxel-Implementierung fuehrt jedoch ein Fehler in der Verarbeitung von UPnP-Anfragen zu einer Command-Injection-Schwachstelle. Bestimmte Parameter aus den UPnP-Nachrichten werden nicht ausreichend bereinigt und von der zugrunde liegenden Betriebssystem-Shell als Systembefehl interpretiert. Damit laesst sich aus der Ferne Schadcode ausfuehren.
Angriff ueber UPnP und SOAP: Remote-Code-Ausfuehrung ohne Login
Fuer die Ausnutzung von CVE-2025-13942 ist kein Login und kein Passwort erforderlich. Ein Angreifer sendet einen speziell gestalteten UPnP-SOAP-Request (SOAP ist das Nachrichtenformat innerhalb von UPnP) an das Geraet. Aufgrund der fehlerhaften Eingabevalidierung werden manipulative Parameter direkt in die Befehlszeile eingespeist.
So kann der Angreifer beispielsweise Malware herunterladen und starten, persistente Benutzerkonten anlegen oder Netzwerkeinstellungen aendern. In der Praxis werden Router mit aehnlichen Schwachstellen haeufig in Botnetze eingegliedert, fuer DDoS-Angriffe, anonymes Proxying oder als Einstiegspunkt in interne Netze genutzt – Szenarien, die bereits seit dem Mirai-Botnetz als typisches Muster im IoT-Bereich bekannt sind.
Eine wichtige Einschraenkung: Die Schwachstelle ist vor allem dann aus dem Internet heraus ausnutzbar, wenn UPnP aktiviert ist und gleichzeitig ein WAN-Zugriff auf das Geraet besteht. Viele Zyxel-Modelle liefern WAN-Remotezugriff ab Werk deaktiviert aus. In der Praxis wird er jedoch haeufig aktiviert, etwa fuer Fernadministration, Portweiterleitungen fuer Spielekonsolen oder Filesharing.
Ausmass der Bedrohung: Grosse Angriffsflaeche im Internet
Nach Daten des Projekts Shadowserver sind derzeit rund 120 000 Zyxel-Geraete direkt aus dem Internet erreichbar, davon ueber 76 000 Router. Nicht alle muessen zwingend fuer CVE-2025-13942 verwundbar sein, doch diese Zahlen verdeutlichen die enorme Angriffsoberflaeche im Segment Heim- und SOHO-Router.
Solche Geraete laufen oft jahrelang mit veralteter Firmware, werden selten ueberprueft und befinden sich an einer kritischen Position: Sie terminieren Internetzugang, WLAN und oftmals VPN-Verbindungen. Gelingt eine Kompromittierung, kann der Angreifer den gesamten Datenverkehr umleiten oder mitlesen, interne Systeme scannen und weitere Angriffe innerhalb des lokalen Netzes starten.
Weitere Zyxel-Schwachstellen: Command Injection nach Login
Neben CVE-2025-13942 hat Zyxel zwei weitere Schwachstellen geschlossen: CVE-2025-13943 und CVE-2026-1459. Auch hierbei handelt es sich um Command-Injection-Luecken, allerdings setzt die Ausnutzung gueltige Zugangsdaten voraus – typischerweise ein Administrator- oder Benutzerkonto auf dem Router.
In realen Angriffsszenarien werden solche Zugangsdaten haeufig durch Phishing, das Erraten schwacher Standardpasswoerter oder die Wiederverwendung bereits geleakter Passwoerter erlangt. Nach erfolgreichem Login kann der Angreifer manipulierte HTTP-Requests an die Admin-Oberflaeche senden und so ebenfalls beliebige Systembefehle ausloesen. Damit wird eine kompromittierte Benutzerkennung schnell zu einem vollstaendigen Systemkompromiss.
Ungepatchte Altgeraete: Zero-Day-Luecken ohne Hersteller-Support
Besondere Aufmerksamkeit erregen zwei Zero-Day-Schwachstellen in nicht mehr unterstuetzten Zyxel-Routern: CVE-2024-40890 und CVE-2024-40891. Laut Hersteller werden fuer diese Modelle keine Firmware-Updates mehr bereitgestellt, obwohl einzelne Geraete weiterhin im Online-Handel verfuegbar sind.
Dieser Fall unterstreicht einen zentralen Trend in der Netzwerksicherheit: Router und CPE-Geraete besitzen einen begrenzten Zeitraum sicherer Nutzbarkeit. Nach Ablauf des Support-Zyklus steigt das Risiko, dass ungepatchte Schwachstellen dauerhaft ausnutzbar bleiben. Aus Sicht der IT-Sicherheit ist der Weiterbetrieb solcher Systeme im produktiven Umfeld nur schwer vertretbar.
Konkrete Schutzmassnahmen fuer Besitzer von Zyxel-Routern
1. Firmware umgehend aktualisieren. Nutzer sollten die aktuellsten Firmware-Versionen fuer ihr konkretes Modell ueber die Zyxel-Website oder die Administrationsoberflaeche einspielen und – falls vorhanden – automatische Updates aktivieren.
2. UPnP deaktivieren, sofern nicht unbedingt erforderlich. UPnP erleichtert zwar die Portfreigabe, vergroessert aber die Angriffsoberflaeche erheblich. Wenn Anwendungen auch ohne UPnP funktionieren, sollte die Funktion konsequent abgeschaltet werden.
3. WAN-Remotezugriff einschraenken oder ausschalten. Die Weboberflaeche des Routers sollte nicht ungeschuetzt aus dem Internet erreichbar sein. Empfohlen werden Deaktivierung des WAN-Zugangs, strikte IP-Filter, die Nutzung eines VPN fuer Fernzugriffe und starke, eindeutige Passwoerter.
4. Starke Authentifizierung einsetzen. Komplexe, einzigartige Passwoerter und – falls der Router es unterstuetzt – Mehrfaktor-Authentifizierung reduzieren das Risiko, dass Command-Injection-Luecken nach erfolgreicher Kontouebernahme ausgenutzt werden koennen.
5. Regelmaessiger Sicherheits- und Inventur-Check. Alle Router, Access Points und CPE-Geraete sollten regelmaessig inventarisiert, auf Support-Status geprueft und gegen bekannte CVEs abgeglichen werden. End-of-Life-Geraete gehoeren zeitnah ersetzt, statt sie ueber Jahre weiterzubetreiben.
Router und andere Netzwerkknoten sind laengst zur zentrale(n) Eingangstuere der digitalen Infrastruktur geworden. Schwachstellen wie CVE-2025-13942 zeigen, dass Sicherheit nicht bei der Endpunkt-Antivirensoftware endet, sondern beim Gateway beginnt. Wer Firmware konsequent aktualisiert, ueberfluessige Dienste wie UPnP oder WAN-Remotezugriff deaktiviert und veraltete Hardware rechtzeitig ersetzt, reduziert das Risiko erfolgreicher Angriffe deutlich. Es lohnt sich, die eigene Netzumgebung jetzt kritisch zu ueberpruefen – bevor Angreifer die neuen Zyxel-Luecken fuer ihre Zwecke automatisiert ausnutzen.
