Neues aus der IT-Welt

Tausende Router von Asus sind von Unbekannten übernommen worden, der unerlaubte Zugriff kann nicht einmal durch einen Neustart oder Firmware-Updates unterbunden werden. Das hat GreyNoise ermittelt und erklärt, daß es sich womöglich um die ersten Schritte beim Aufbau eines Botnets handelt.

Laut dem IT-Sicherheitsunternehmen gehen Angreifern beim Erstzugriff heimlich vor und greifen auf integrierte Systemfunktionen zu, um sich tief im System festzusetzen. Das deute auf einen "äußerst fähigen" Verantwortlichen, der sehr gut ausgestattet ist, hin. Für nicht kompromittierte Router stehen Patches bereit.

Wie GreyNoise in einem Blogeintrag ausführt, erlangen die Unbekanten den Zugriff über massenhafte Login-Versuche ("Brute Force") und umgehen dabei Authentifizierungsvorgaben. Dabei würden Lücken ausgenutzt, die keine CVE-Kennzeichnung erhalten haben, aber inzwischen geschlossen seien. Danach wird eine weitere Lücke (CVE-2023-39780) ausgenutzt, die Asus inzwischen ebenfalls gepatcht habe. Schließlich würde der weitere Zugriff von außen ermöglicht. Die Hintertür selbst werde in nicht-flüchtigem NVRAM abgelegt, weshalb sie weder durch einen Neustart noch durch ein Firmware-Update geschlossen werden könne. Malware werde nicht installiert und die Logging-Funktion der Router werde deaktiviert.

Entdeckt hat GreyNoise die Kampagne demnach Mitte März mithilfe einer KI, die auf anomalen Traffic angesprungen ist. Am 23. März wurde Asus informiert, es folgten die Patches. Zuletzt waren laut GreyNoise fast 9000 Router kompromittiert, die Zahl wachse weiter. Welche Modelle betroffen sind, schreibt die Firma zwar nicht, aufgelistet werden aber mit dem Angriff verbundene IP-Adressen. Außerdem empfiehlt GreyNoise eine Prüfung, ob auf eigenen Asus-Routern der SSH-Zugriff auf den Port TCP/53282 erlaubt wurde. In der Datei "authorized_keys" sollten außerdem nicht autorisierte Einträge gesucht werden. Ist ein Gerät kompromittiert, helfe nur das Zurücksetzen auf die Werkseinstellung und die manuelle Neukonfiguration.