Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Neustart und Firmware-Update zwecklos: Tausende Asus-Router kompromittiert

262 Aufrufe

Tausende Router von Asus sind von Unbekannten übernommen worden, der unerlaubte Zugriff kann nicht einmal durch einen Neustart oder Firmware-Updates unterbunden werden. Das hat GreyNoise ermittelt und erklärt, dass es sich womöglich um die ersten Schritte beim Aufbau eines Botnets handelt.

Laut dem IT-Sicherheitsunternehmen gehen Angreifern beim Erstzugriff heimlich vor und greifen auf integrierte Systemfunktionen zu, um sich tief im System festzusetzen. Das deute auf einen "äußerst fähigen" Verantwortlichen, der sehr gut ausgestattet ist, hin. Für nicht kompromittierte Router stehen Patches bereit.

Wie GreyNoise in einem Blogeintrag ausführt, erlangen die Unbekanten den Zugriff über massenhafte Login-Versuche ("Brute Force") und umgehen dabei Authentifizierungsvorgaben. Dabei würden Lücken ausgenutzt, die keine CVE-Kennzeichnung erhalten haben, aber inzwischen geschlossen seien. Danach wird eine weitere Lücke (CVE-2023-39780) ausgenutzt, die Asus inzwischen ebenfalls gepatcht habe. Schließlich würde der weitere Zugriff von außen ermöglicht. Die Hintertür selbst werde in nicht-flüchtigem NVRAM abgelegt, weshalb sie weder durch einen Neustart noch durch ein Firmware-Update geschlossen werden könne. Malware werde nicht installiert und die Logging-Funktion der Router werde deaktiviert.

Entdeckt hat GreyNoise die Kampagne demnach Mitte März mithilfe einer KI, die auf anomalen Traffic angesprungen ist. Am 23. März wurde Asus informiert, es folgten die Patches. Zuletzt waren laut GreyNoise fast 9000 Router kompromittiert, die Zahl wachse weiter. Welche Modelle betroffen sind, schreibt die Firma zwar nicht, aufgelistet werden aber mit dem Angriff verbundene IP-Adressen. Außerdem empfiehlt GreyNoise eine Prüfung, ob auf eigenen Asus-Routern der SSH-Zugriff auf den Port TCP/53282 erlaubt wurde. In der Datei "authorized_keys" sollten außerdem nicht autorisierte Einträge gesucht werden. Ist ein Gerät kompromittiert, helfe nur das Zurücksetzen auf die Werkseinstellung und die manuelle Neukonfiguration.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

(Ursprünglich geschrieben von Heise)
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Schadcode-Attacken auf IBM Db2 und Tivoli Monitori...
Kein Patch in Sicht: WordPress-Websites mit TI Woo...

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Sonntag, 02. November 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung