Massive Attacken auf Router von Asus, D-Link & Co. beobachtet
Angreifer haben derzeit weltweit eine kritische Schwachstelle in Wireless-SoCs von Realtek im Visier. In Deutschland soll es Millionen Attacken gegeben haben.
Sicherheitsforscher von Palo Alto Networks haben Ende 2022 global rund 134 Millionen Angriffe auf IoT-Geräte und Router mit Wireless-SoCs von Realtek beobachtet. Davon sind unter anderem Router von Asus, Belkin, D-Link, Netgear und Zyxel betroffen. Die Attacken sollen von mehreren Botnetzen wie Gafgyt, Mirai und Mozi ausgehen.
Schadcode-Lücke
Wie aus einem Bericht der Forscher hervorgeht, setzen die Angreifer an einer „kritischen“ Sicherheitslücke (CVE-2022-35394) an, die seit Sommer 2021 bekannt ist. Konkret findet sich die Lücke im UDPServer im Realtek Jungle SDK Version 2.0 bis 3.4.14B.
Die Schwachstelle nutzen Angreifer ohne Authentifizierung mit präparierten Datenpaketen aus, die aufgrund einer unzureichenden Validierung durchgehen. Im Anschluss können sie DoS-Zustände provozieren oder sogar Schadcode ausführen.
IoT-Lieferketten-Problem
Von der Lücke sind rund 190 IoT-Modelle von 66 Herstellern betroffen. Eine Auflistung von betroffenen Geräten findet man in der ursprünglichen Warnmeldung am Ende des Beitrags. Sicherheitspatches von Realtek sind schon seit Sommer 2021 verfügbar.
Da aber sehr viele Geräte die betroffenen Wireless-SoCs einsetzen, ist eine flächendeckende Verteilung schwierig. Selbst wenn die Sicherheitspatches bereitstehen, ist nicht garantiert, dass Endnutzer sie installieren.
Weltweite Angriffe
Die Forscher geben an, dass sie die Attacken im Zeitraum ab August 2022 dokumentiert haben. Knapp die Hälfte der Angriffe soll aus den USA stammen. In Deutschland haben sie rund 3 Millionen Attacken beobachtet.
Wer ein betroffenes Gerät besitzt, sollte die Software aktualisieren. Befindet sich ein Produkt nicht mehr im Support und bekommt keine Updates mehr, sollte man über einen Hardwarewechsel nachdenken. Außerdem sollte man prüfen, ob das jeweilige Gerät unbedingt aus dem Internet erreichbar sein muss. Ist das nicht der Fall, kann man durch Kappen der Verbindung nach außen die Angriffsfläche massiv verkleinern.
Quelle: heise.de