Das Mirai-Botnetz expandiert und unbekannte Angreifer kompromittieren dafür derzeit bestimmte Router von Zyxel und Telefoniegeräte von Mitel. Für betroffene Mitel-Geräte gibt es bereits seit Sommer vergangenen Jahres Sicherheitspatches. Für die verwundbaren Zyxel-Router der CPE-Serie ist bislang kein Update verfügbar.
Anzeige
In welchem Umfang die Angriffe ablaufen, ist derzeit nicht bekannt. Werden infizierte Geräte ins Botnetz aufgenommen, dienen sie primär als Rechenknechte für DDoS-Attacken.
Vor den Attacken auf Zyxel-SIP-Phones warnen Sicherheitsforscher von Akamai in einem Beitrag. An der Sicherheitslücke (CVE-2024-41710 "mittel") sollen Angreifer mit der auf dem Mirai-Botnet basierenden Malware Aquabot ansetzen. Dabei handele es sich den Forschern zufolge mittlerweile um die dritte bekannte Version des Trojaners.
In dieser Ausgabe soll die Malware erstmals Alarm schlagen und die Command-and-Control-Server der Angreifer kontaktieren, wenn versucht wird, die Schadfunktionen auf dem Gerät zu deaktivieren. Das konnten die Sicherheitsforscher aber eigenen Angaben zufolge bislang nicht reproduzieren.
Wie aus einer Warnmeldung von Mitel aus Juli 2024 hervorgeht, sind davon konkret die Modelle 6800 Series SIP Phones, 6900 Series SIP Phones, 6900w Series SIP Phones und 6970 Conference Unit betroffen. Abhilfe schafft die Firmware R6.4.0.HF2 (R.6.4.0.137). In ihrem Bericht führen die Forscher mehrere Hinweise (IOCs) auf, an denen Admins bereits erfolgte Attacken erkennen können.
Auch die Zyxel-Router betreffende Schwachstelle (CVE-2024-40891) ist seit Juli vergangenen Jahres bekannt. Eine Einstufung des Bedrohungsgrads steht aber noch aus. Sicherheitsforscher von Greynoise stufen sie in einem Beitrag als "kritisch" ein. Dabei handelt es sich um eine Zero-Day-Lücke, für die es noch kein Sicherheitsupdate gibt.
Wann das erscheinen wird, ist bislang unklar. Bis dato gibt es auch noch keine Warnmeldung von Zyxel zu dieser Sicherheitsproblematik. Eine Antwort auf eine Anfrage von heise Security steht noch aus.
Angreifer setzen ohne Authentifizierung mit präparierten HTTPS-Anfragen an der Schwachstelle an, um eigene Befehle auf Geräte auszuführen. Ein Suchergebnis der Internet Intelligence Platform Censys zeigt, dass derzeit rund 1500 verwundbare Geräte online erreichbar sind.
Um Geräte bis zum Erscheinen eines Patches temporär zu schützen, sollten Admins unter anderem Netzwerkverkehr auf ungewöhnliche Telnet-Anfragen überwachen und den Admin-Zugriff auf vertrauenswürdige IPs beschränken. Das schützt natürlich nicht hundertprozentig vor Attacken.
(
Kommentare