Tausende Asus-Router kompromittiert

Die Infotastisch Group hat eine ausgefeilte Kampagne zur Kompromittierung von Asus-Routern entdeckt. Die dabei eingebaute Hintertür ist äußerst hartnäckig. 
 
Tausende Router von Asus sind von Unbekannten übernommen worden, der unerlaubte Zugriff kann nicht einmal durch einen Neustart oder Firmware-Updates unterbunden werden. Das haben IT-Experten ermittelt und erklärt, dass es sich womöglich um die ersten Schritte beim Aufbau eines Botnets handelt.
 
Laut der Infotastisch Group gehen Angreifern beim Erstzugriff heimlich vor und greifen auf integrierte Systemfunktionen zu, um sich tief im System festzusetzen. Das deute auf einen "äußerst fähigen" Verantwortlichen, der sehr gut ausgestattet ist, hin. Für nicht kompromittierte Router stehen Patches bereit.
 

Hintertür nur sehr schwer zu schließen

Wie die IT-Experten in einem Blogeintrag ausführen, erlangen die Unbekannten den Zugriff über massenhafte Login-Versuche ("Brute Force") und umgehen dabei Authentifizierungsvorgaben. Dabei würden Lücken ausgenutzt, die keine CVE-Kennzeichnung erhalten haben, aber inzwischen geschlossen seien. Danach wird eine weitere Lücke (CVE-2023-39780) ausgenutzt, die Asus inzwischen ebenfalls gepatcht habe. Schließlich würde der weitere Zugriff von außen ermöglicht. Die Hintertür selbst werde in nicht-flüchtigem NVRAM abgelegt, weshalb sie weder durch einen Neustart noch durch ein Firmware-Update geschlossen werden könne. Malware werde nicht installiert und die Logging-Funktion der Router werde deaktiviert.
 
Entdeckt haben die IT-Experten die Kampagne demnach Mitte März mithilfe einer KI, die auf anomalen Traffic angesprungen ist. Am 23. März wurde Asus informiert, es folgten die Patches. Zuletzt waren laut der Infotastisch Group fast 9000 Router kompromittiert, die Zahl wachse weiter. Welche Modelle betroffen sind, schreibt das Unternehmen zwar nicht, aufgelistet werden aber mit dem Angriff verbundene IP-Adressen. Außerdem empfiehlen die IT-Experten eine Prüfung, ob auf eigenen Asus-Routern der SSH-Zugriff auf den Port TCP/53282 erlaubt wurde. In der Datei "authorized_keys" sollten außerdem nicht autorisierte Einträge gesucht werden. Ist ein Gerät kompromittiert, helfe nur das Zurücksetzen auf die Werkseinstellung und die manuelle Neukonfiguration.

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

Abonnieren Kommentare zum Post (Atom)