Der Sicherheitsanbieter GreyNoise hat Details zu einer Kampagne von Cyberkriminellen veröffentlicht, bei der Tausende Router des taiwanischen Anbieters Asus kompromittiert wurden. Die Sicherheitsforscher beschreiben die Hintermänner als „gut ausgerüstet und äußerst fähig“.
Um sich Zugang zu den Routern zu verschaffen, verwendeten die Angreifer Brute-Force-Anmeldetechniken und zwei verschiedene Methoden, um die integrierte Authentifizierung zu umgehen. Sie waren auch in der Lage, bestimmte Schwachstellen auszunutzen, denen noch keine offiziellen CVE-Nummern zugewiesen wurden. Sobald sie Zugriff auf den Router hatten, konnten sie beliebige Systembefehle ausführen, indem sie eine bekannte Sicherheitslücke mit der Kennung CVE-2023-39780 ausnutzten.
In einer Stellungnahme, die ZDNet USA vorliegt, räumte Asus die Sicherheitsanfälligkeit ein. Nach Angaben des Unternehmens wurden Nutzer bereits aufgefordert, ein Firmware-Update für ihre Geräte zu installieren. Die fragliche Anfälligkeit wurde von Asus bereits im November 2023 offengelegt.
Die Cyberkriminellen steuerten die Router aus der Ferne über einen von ihnen eingerichteten SSH-Zugang. Außerdem installierten sie eine Hintertür, um problemlos zur Firmware des Routers zurückzukehren, ohne sich um die Authentifizierung kümmern zu müssen. Die Hintertür wurde im nichtflüchtigen Speicher (NVRAM) abgelegt, so dass sie nicht durch einen Neustart des Routers oder eine Aktualisierung der Firmware entfernt werden konnte. Um nicht entdeckt zu werden, deaktivierten die Kriminellen sogar die Protokollierung, die sonst ihren Zugriff aufgezeichnet hätte.
Nach Daten des Internet-Scanners Censys sind mehr als 9000 Asus-Router betroffen. GreyNoise zufolge wurden in den letzten drei Monaten allerdings nur 30 Anfragen für den Zugriff auf die betroffenen Router verzeichnet. „Das scheint Teil einer verdeckten Operation zu sein, die darauf abzielt, ein verteiltes Netzwerk von Backdoor-Geräten aufzubauen, was möglicherweise den Grundstein für ein zukünftiges Botnet legen soll“, teilte GreyNoise mit.
Neueste Kommentare
Noch keine Kommentare zu Botnet: Tausende Asus-Router kompromittiert
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.