Eine schon länger bekannte Sicherheitslücke in einigen Cisco-Routern wird jetzt aktiv von der Malware „SYNful Knock“ ausgenutzt, wie der Sicherheitsanbieter FireEye warnt. Cisco hatte schon Mitte August auf die Schwachstelle hingewiesen. Angreifer können sie dafür nutzen, die Firmware der betroffenen Geräte auszutauschen und so uneingeschränkten Zugriff auf das Netzwerk zu erlangen. Auf den drei Routermodellen 1841, 2811 und 3825 konnte FireEye inzwischen modifizierte Betriebssystem-Images nachweisen. Es sei aber nicht auszuschließen, dass noch weitere betroffen sind.
Durch den Austausch der Router-Firmware erhalten Angreifer umfassenden Zugriff auf das Netzwerk. Den üben sie laut Cisco über eine Passwort-geschützte Backdoor aus.
Angriffe auf Firmware wurden bislang als eher theoretisch mögliches Szenario eingestuft. Die praktische Umsetzung eines Exploits galt als eher unwahrscheinlich. Laut FireEye hat die hauseigene Beratungsabteilung Mandiant nun aber mindestens 14 Router mit dem modifizierten Betriebssystem entdeckt. Die Router seien in der Ukraine, den Philippinen, Mexiko und Indien angegriffen worden. Es sei sehr wahrscheinlich, dass noch weitere Router betroffen sind, die bislang lediglich noch nicht entdeckt wurden.
Dies sei aufgrund der Kommunikationsstruktur relativ schwierig heißt es im FireEye-Advisory: „Es kann schwierig sein, eine Backdoor zu entdecken, da häufig nicht-standardisierte Pakete als eine Art Pseudo-Authentifizierung verwendet werden. Selbst das Aufspüren einer Backdoor im eigenen Netzwerk kann eine Herausforderung sein, für ein Router-Implantat gilt das umso mehr.“ Allerdings seien die Folgen einer solchen Entdeckung schwerwiegend und es sei dann sehr wahrscheinlich, dass auch weitere Malware oder kompromittierte Systeme vorhanden sind.
Die Malware SYNful Knock lasse sich anpassen und könne aus der Ferne aktualisiert werden, so die Sicherheitsexperten weiter. Weil er als Firmware auf dem Router gespeichert ist, bleibt der Schädling auch nach einem Neustart aktiv. Weitere modifizierte Module sind laut FireEye im flüchtigen Speicher der Geräte abgelegt und lassen sich mit einem Hard Reset löschen. Ob es weitere Module gibt, lässt sich jedoch nur durch einen Core-Dump des Router-Images herausfinden.
[mit Material von Martin Schindler, silicon.de]
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
