Angriffswelle kompromittiert Tausende Asus-Router
Cyberkriminelle haben offenbar eine persistente Backdoor auf Tausenden von Asus-Routern eingerichtet. Die Angriffswelle nutzt eine bekannte Schwachstelle, blieb lange unauffällig und ermöglichte langfristigen Fernzugriff auf die Router.
Forschende des Cybersecurity-Anbieters Greynoise haben eine verdeckte Angriffswelle auf Asus-Router entdeckt. Laut einem Blogeintrag des Unternehmens haben sich Angreifer dabei unbefugten und dauerhaften Zugriff auf mehrere Tausend Geräte verschafft. Die Angriffswelle hatte offenbar das Ziel, ein Netzwerk kompromittierter Router aufzubauen, die möglicherweise als Basis für ein zukünftiges Botnetz dienen könnten. Wie es weiter heisst, ähneln die von Greynoise beobachteten Angriffstechniken denen von Advanced Persistent Threats und zeichnen sich durch eine unauffällige Vorgehensweise sowie eine hohe Persistenz aus.
Angriffswelle blieb lange unentdeckt
Die Angreifer haben demnach Brute-Force-Anmeldeversuche und nicht dokumentierte Authentifizierungs-Bypässe genutzt, um sich Zugang zu den Routern zu verschaffen, heisst es im Blogeintrag weiter. Sie missbrauchten dabei die Schwachstelle CVE-2023-39780 zur Befehlsausführung und aktivieren den SSH-Zugang über den nicht standardisierten Port 53282. Ausserdem hätten sie einen eigenen öffentlichen Schlüssel für den Fernzugriff hinzugefügt und diesen im nichtflüchtigen Speicher hinterlegt. Damit sei dieser laut den Forschenden von Greynoise immun gegenüber Neustarts und Firmware-Updates. Besonders sei dabei, dass keine zusätzliche Schadsoftware installiert und die Protokollierung auf den Routern deaktiviert werde, um die Aktivitäten der Angreifer zu verschleiern.
Greynoise konnte die Angriffswelle nach eigenen Angaben mit seinem KI-basierten Tool Sift sowie emulierten Asus-Routerprofilen nachverfolgen. Dadurch liessen sich die Angriffsschritte rekonstruieren und das Ausmass der Kompromittierungen nachweisen. Censys, eine Plattform zur globalen Netzwerküberwachung, meldete bis zum 27. Mai fast 9000 infizierte Geräte - Tendenz steigend.
Wie es weiter heisst, habe Asus auf den Vorfall reagiert und Schwachstellen wie CVE-2023-39780 in aktuellen Firmware-Updates behoben. Die von den Angreifern vorgenommenen SSH-Konfigurationsänderungen werden durch ein Update jedoch nicht entfernt, sodass kompromittierte Geräte eine manuelle Nachkontrolle benötigen. Die Greynoise-Forschenden empfehlen, Asus-Router gezielt auf den SSH-Port 53282 und unbekannte Einträge in der Datei "authorized_keys" zu prüfen. Bei Verdacht auf eine Kompromittierung raten sie zu einem vollständigen Reset mit anschliessender manueller Neukonfiguration.
Cyberkriminelle nutzen immer wieder Schwachstellen in Routern für Angriffe aus, wie etwa bei Geräten aus den Modellreihen VMG und SBG von Zyxel, die ihren End-of-life-Status erreicht haben. Lesen Sie hier mehr darüber.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Kanton Aargau setzt auf KI-Strategie
Missionare aus Transilvanien
NDB soll via Kaspersky mit russischen Kontakten kooperiert haben
Ceconet listet LED-Signage von Liantronics
Cyberkriminelle ködern mit vermeintlichen Tickets fürs Lindt-Museum
Microsoft Schweiz ernennt neuen CFO
Schweiz krallt sich erneut Spitzenplatz im globalen Kompetenzranking
Australien führt Meldepflicht für Ramsomware-Zahlungen ein
Exclusive Networks ernennt Vendor Managerin
