Anfälligkeiten in Heimroutern: Potenzielle Bedrohungen durch Hacker

Eine Schwachstelle in Millionen von Heimroutern wurde Anfang dieses Monats enthüllt. Am 3. August entdeckte Tenable, ein Unternehmen für Cyberexposure, eine Sicherheitslücke, die sowohl Heimrouter als auch andere Geräte des Internet of Things (IoT) betrifft und von Cyberkriminellen ausgenutzt werden kann. 

Juniper Threat Labs berichtete ebenfalls, dass Cyberkriminelle eine Variante der Mirai-Malware nutzen können, um die Schwachstellen der Heimrouter auszunutzen. Es gab bereits kürzlich eine Übernahme von Heimroutern von mindestens 20 Anbietern, da sie die Mirai-Malware-Variante für die Durchführung von DDoS-Angriffen verwenden. Es wurde festgestellt, dass Anbieter wie ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon und Vodafone betroffen sind. Diese Heimrouter verwenden die Arcadyan-Firmware, die für den Angriff anfällig ist. 

Die Forscher von Tenable verfolgten die Sicherheitslücke als CVE-2021-20090. Sie veröffentlichten einen Beweis des Konzepts (POC), der zeigte, dass Cyberangriffe ein Gerät infiltrieren können, indem sie Telnet auf dem Heimrouter aktivieren und so einen gewissen Zugang zum Gerät erlangen. Der Angreifer kann dann einen DDoS-Angriff auf alle Geräte starten, die mit dem Heimrouter verbunden sind. 

Laut Tenable dauert es oft nur sehr wenig Zeit, bis ein POC [proof of concept] in ihre Plattform integriert und Angriffe gestartet werden, sobald dieser veröffentlicht wurde. Die Forscher stellten ebenfalls fest, dass die meisten Organisationen keine Policies haben, um innerhalb weniger Tage Patches zu installieren, manchmal sogar Wochen brauchen, um zu reagieren. Im Falle von IoT-Geräten oder Heim-Gateways ist die Situation jedoch noch schlimmer, da die meisten Benutzer nicht technikaffin sind und auch diejenigen, die es sind, nicht über potenzielle Schwachstellen und anzuwendende Patches informiert werden.

Die potenziellen Bedrohungen durch Mirai-Varianten 

Juniper Network entdeckte die Ausnutzung von Heimroutern durch die Mirai-Malware. Cyberkriminelle können ihre IP-Adresse auf eine Adresse in China ändern und einen Angriff auf anfällige Router starten. 

Sie sagten: „Wir haben einige Angriffsmuster erkannt, die versuchen, diese Schwachstelle auszunutzen und von einer IP-Adresse aus Wuhan, Provinz Hubei, China kommen. Der Angreifer scheint zu versuchen, eine Mirai-Variante auf den betroffenen Routern zu installieren.“

Ein Angriff auf einen Heimrouter kann mehrere Bedrohungen für eine Einzelperson oder ein Unternehmen darstellen. Jake Williams von BreachQuest betonte die Auswirkungen des Angriffs. Er sagte: „Ein Angreifer, der einen Router kompromittiert, kann alle durch ihn laufenden Daten vollständig beeinflussen, aber das wahrscheinlichste Szenario ist ein Angreifer, der diese Geräte als Teil eines Botnetzes verwendet, das für verteilt ausgeführte Schwachstellenprüfungen, Ausnutzung von Schwachstellen, Passwortraten oder im wahrscheinlichsten Fall DDoS genutzt werden könnte.“

Laut Williams könnte eine Schwachstelle in der Benutzeroberfläche eines Heimrouters einem Angreifer Zugang zu dem Gerät gewähren, was ihm potenziell ermöglichen könnte, Einstellungen zu ändern oder Malware hinzuzufügen. Er fügte jedoch hinzu, dass die meisten modernen Router ihre Schnittstelle nicht dem öffentlichen Internet aussetzen.

Was ist die Mirai-Variante

Mirai ist ein Botnet, das Internet der Dinge (IoT) Geräte wie Heimrouter, digitale Videorekorder und Internetkameras ins Visier nimmt und sie in Dinge verwandelt, die andere Maschinen hacken. Man geht davon aus, dass das selbstreplizierende Mirai-Botnet für über eine halbe Million kompromittierte IoT-Geräte verantwortlich ist, die zur Durchführung massiver DDoS-Angriffe von bis zu 1 Tbps verwendet wurden.

Mirai wurde erstmals 2016 entdeckt, als Hacker einen großangelegten Angriff auf den Dyn Domain Name System (DNS) Dienst starteten. Es führte dazu, dass zahlreiche große Websites für Stunden nicht erreichbar waren, darunter Twitter, Amazon, Reddit und Netflix. Der Mirai-Code wurde im November dieses Jahres veröffentlicht, und seitdem sind viele verschiedene Varianten aufgetaucht.

Abwehr potenzieller Angriffe

Laut Forscher liegt die Schwachstelle bei Heimroutern in deren Firmware. Sie entsteht durch unzureichende Update-Richtlinien, Patching von Heimrouter-Herstellern sowie eine Abhängigkeit von Open-Source-Projekten für den Code. Üblicherweise sind diese drei kritischen Komponenten von Heimroutern ungesichert, was sie zu einfachen Zielen für Cyberkriminelle macht. 

Einige Heimrouter laufen auf veralteter Software und verfügen über kaum oder keine Update-Richtlinien, um Sicherheitsrisiken anzugehen. Ihnen fehlen auch Patches und Updates zur Behebung identifizierter Mängel. Dies könnte an fehlenden finanziellen Mitteln des Heimrouter-Herstellers liegen, was sie wiederum anfällig für Hackerangriffe macht. 

Forscher rieten den Anbietern, automatische Updates anzubieten, um potenziellen Angriffen vorzubeugen. Juniper sagte: „Die einzig sichere Methode, dieses Problem zu beheben, besteht darin, dass Anbieter automatische Updates ohne Ausfallzeiten anbieten müssen.“

Auch die Benutzer können die Firmware ihres Heimrouters aktualisieren und sich über Schwachstellen informieren, um Kompromittierungen ihrer Geräte zu vermeiden. Darüber hinaus kann die Verwendung eines VPN auf einem Heimrouter ebenfalls helfen, Cyberangriffe zu verhindern. 

Schlussfolgerung

Forscher haben Schwachstellen in Heimroutern entdeckt, die DDOS-Angriffe von Cyberkriminellen ermöglichen können. Die Schwachstelle wurde bereits bei etwa 20 Anbietern von Heimroutern festgestellt. Cyber-Angreifer starten diese Angriffe mit der Mirai-Variante und beeinträchtigen alle mit dem Router verbundenen Geräte. Nutzer müssen ihre Firmware aktualisieren und weitere Vorsichtsmaßnahmen treffen, um Angriffe zu verhindern