Von VPNFilter betroffene Geräte auch mit 19 weiteren Sicherheitslücken behaftet

Originalbeitrag von Tony Yang and Peter Lee, Consumer Yamato Team

VPNFilter ist eine neue Multi-Stage-Schadsoftware (ELF_VPNFILT.A, ELF_VPNFILT.B, ELF_VPNFILT.C und ELF_VPNFILT.D), die viele Modelle von vernetzten Geräten schädigen kann. Ende Mai hatte sie Berichten zufolge mindestens 500.000 vernetzte Geräte in 54 Ländern infiziert, einschließlich solcher von Linksys, MikroTik, Netgear und TP-Link. Ziel der Malware ist der Diebstahl von Login-Informationen auf Websites und sogar Geräte unbrauchbar zu machen. Mittlerweile zielt die Malware auf noch mehr Geräte, um Exploits abzulegen und Reboots außer Kraft zu setzen. Das FBI veröffentlichte ein Public Service Announcement (PSA) und warnt darin, es handle sich um das Werk ausländischer Bedrohungsakteure, die weltweit vernetzte Geräte kompromittieren wollen.

VPNFilter ist bekannt dafür, mehr als zehn Marken und 70 Gerätemodelle zu gefährden. IoT Smart Checker von Trend Micro ermöglicht es Nutzern festzustellen, ob vernetzte Geräte wie Router, NAS, IP-Kameras, in einem bestimmten Netzwerk angreifbar sind, etwa über Mirai, Reaper und WannaCry. Der IoT Smart Checker kann auch weitere öffentlich bekannte Schwachstellen identifizieren, über die VPNFilter Geräte ausnutzen kann. Eine Liste umfasst der Originalbeitrag.

Die Daten (1. Juni – 12. Juli) von Trend Micro zeigen, dass eine Menge Geräte immer noch alte Firmware-Versionen einsetzen. 19 bekannte Sicherheitslücken werden nicht nur von VPNFilter sondern auch von anderer Malware ausgenutzt. Die Forscher stellten beim Scannen fest, dass 34 Prozent der Heimnetzwerke mindestens ein Gerät mit einer bekannten Sicherheitslücke enthielt. Neun Prozent der angreifbaren Geräte sind auch von VPNFilter betroffen (siehe Originalbeitrag).

Wie nicht anders erwartet, betreffen die 19 Sicherheitslücken in erster Linie Router. Interessanterweise betrifft die Authentication Bypass Vulnerability CVE-2015-7261, ein FTP (File Transfer Protocol)-Fehler in der QNAP NAS-Firmware hauptsächlich Drucker. Bei näherer Betrachtung stellte sich heraus, dass das FTP vieler dieser Drucker ohne Authentifizierung Verbindung zum Netzwerk aufnehmen konnte.

Die anderen Sicherheitslücken wie Buffer Overflow CVE-2013-0229 und Stack Overflow CVE-2013-0230 ermöglichen es Angreifern, Denial-of-Service (DoS)-Attacken durchzuführen und beliebigen Code in Systemen auszuführen.

Schutz für Geräte und Netzwerke

Die Bedrohung durch VPNFilter-Schadsoftware wird noch verstärkt durch die Tatsache, dass auch andere öffentlich bekannte Schwachstellen in den betroffenen Geräten entdeckt wurden. Da es nicht für alle sofort Patches gibt und auch die vorhandenen nicht gleich aufgespielt werden, sollten Nutzer zuerst die Art und Weise sichern, wie sie ihre Geräte und Netzwerke aufsetzen. Der Smart Checker nutzt Daten aus Lösungen wie Trend Micro™ Home Network Security und HouseCall™ for Home Networks-Scanner. Letzeres ist ein kostenloses Tool mit Funktionen für Geräteerkennung und Schwachstellen-Scanning in den Netzwerken von Anwendern und deren vernetzten Geräten. Home Network Security wiederum stellt eine Lösung dar, die als Plug-In in Routern des Verbrauchers funktionieren und vernetzte Geräte vor potenziellen Cyberangriffen schützen. Unternehmen bietet Trend Micro Deep Discovery Inspector Netzwerkschutz.

Neben Sicherheitslösungen sollten Anwender auch Standardmaßnahmen treffen:

  • Aktualisieren der Firmware-Versionen , sobald sie verfügbar sind, um Angriffe zu vermeiden, die bekannte Schwachstellen ausnutzen.
  • Vermeiden der Nutzung von öffentlichem WLAN auf Geräten, die auch in Heim- oder Firmennetzwerken verwendet werden.
  • Ändern der Standard-Anmeldeinformationen des Geräts und Verwenden starker Passwörter, um unbefugten Zugriff zu verhindern.
  • Vorsicht vor verdächtigen URLs oder Anhängen aus unbekannten Quellen, die zu einer Infektion der mit dem Netzwerk verbundenen Geräte führen können.

Anwender von Trend Micro Home Network Security sind über folgende Regeln vor bestimmten Sicherheitslücken geschützt:

  • 1058981 WEB Directory Traversal -21
  • 1130327 EXPLOIT ASUSWRT 3.0.0.4.376_1071 LAN Backdoor Command Execution (CVE-2014-9583)

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.