Du hast einen Router von D-Link, LG, Belkin, Zyxel, Asus oder Netgear? Womöglich ist er längst Teil eines von Hackern gesteuerten Botnetzes.
DDoS-Angriffe durch stetig wachsende Botnetze sind inzwischen eine echte Herausforderung für Cybersecurity-Experten. Doch das Wachstum verwundert nicht, wenn 1,5 Jahre alte Schwachstellen noch immer millionenfach ausnutzbar sind. Sowohl Router-Hersteller als auch Endkunden müssen dringend handeln.
Mehrere Botnetze haben sich im letzten Jahr einer alten Schwachstelle bedient
Sicherheitsforscher von Palo Alto Networks haben im zweiten Halbjahr 2022 einen signifikanten Anstieg von Cyberangriffen unter Ausnutzung der Sicherheitslücke CVE-2021-35394 festgestellt. Und das, obwohl der zuständige Chip-Hersteller die Schwachstelle in seinem Realtek Jungle SDK bereits am 15. August 2021 geschlossen hatte.
Zwischen August 2021 und Dezember 2022 hat das „Unit 42“ genannte Forscherteam insgesamt 134 Millionen Exploit-Versuche festgestellt. 97 Prozent davon fanden dem Bericht der Sicherheitsexperten zufolge jedoch erst ab August 2022 statt.
Seit September 2022 soll eine neue Botnetz-Malware mit dem Namen “RedGoBot” in zahlreiche Angriffe auf anfällige IoT-Geräte verwickelt gewesen sein. Es nutzte die Realtek-Schwachstelle, um DDoS-Angriffe über HTTP-, ICMP-, TCP-, UDP-, VSE- und OpenVPN-Protokolle durchzuführen.
Doch auch andere bekannte Botnetze wie Mirai, Gafgyt, Mozi, Fodcha sowie deren Abkömmlinge nutzten CVE-2021-35394 aus, um zahlreiche weitere Router zu infiltrieren.
Neben den USA, von denen fast die Hälfte aller Angriffe ausging, agierten die Botnetze ebenso von Vietnam, Russland, den Niederlanden, Frankreich, Luxemburg und Deutschland aus. Es sei den Forschern zufolge jedoch naheliegend, dass die Angreifer ihre tatsächliche Herkunft durch den Einsatz von Proxys und VPNs verschleierten.
Bei Herstellern und Anwendern besteht Handlungsbedarf
Mit einem CVSS von 9,8 ist CVE-2021-35394 durchaus als kritisch einzustufen. Sämtliche Realtek Jungle SDK-Versionen von 2.0 bis 3.4.14B sind anfällig dafür. Durch einen Speicherkorruptionsfehler ermöglicht die Schwachstelle einem nicht authentifizierten Angreifer die Ausführung beliebiger Befehle auf betroffenen Geräten.
Zu den zahlreichen Routern, die somit durch Botnetze infiltrierbar sind, gehören Modelle von D-Link, LG, Belkin, Zyxel, Asus und Netgear. Die exakten Modellbezeichnungen sind einer Mitteilung der Onekey GmbH von August 2021 zu entnehmen.
Das große Problem daran ist, dass sowohl Hersteller als auch Endkunden die zahlreichen IoT-Geräte hinsichtlich Software-Updates zumeist eher stiefmütterlich behandeln. Nur weil Realtek die Lücke am 15. August 2021 gepatcht hat, heißt das noch lange nicht, dass die Gerätehersteller den Patch in Form eines Firmware-Updates weitergereicht haben.
Und dann bleibt ja auch noch der Endkunde, der ebenso gewillt sein muss, ein bereitgestelltes Update zu installieren. Das geht jedoch bekanntlich nicht immer nur mit Vorteilen einher. Die meisten Nutzer richten IoT-Geräte ein Mal ein und kümmern sich anschließend nicht weiter darum. Ganz nach dem Motto: “Never touch a running system.”
Doch egal ob man den Schwarzen Peter nun dem Hersteller oder dem Endkunden zuschiebt, ist eines offensichtlich. Die Anzahl der noch immer für die alte Schwachstelle anfälligen Router ist schlichtweg zu hoch. Für Botnetze kommt dies einem Festmahl gleich.
