Neue Erkenntnisse von Cisco
Cisco hat neue Untersuchungsergebnisse zur Malware VPNFilter veröffentlicht, die sich gegen Router, Netzwerkgeräte und Network-Attached-Storage-Systeme im KMU-Umfeld richtet, wie channelpartner.de dazu informierte.
Darin zeigt sich, dass weitere Modelle VPNFilter anfällig sind, darunter:
- bestimmte Modelle von Asus
- D-Link
- Huawei
- Ubiquiti
- Upvel
- ZTE
Die Zahl der weltweit infizierten Geräte erhöht sich damit um mindestens 200.000.Die Angreifer können von diesen Geräten den gesamten Netzwerkverkehr mitlesen.
Gerätebesitzer im Visier
Entgegen der ersten Annahme der Experten, dass VPNFilter vor allem verteilt wurde, um ein Botnetz aufzubauen, mit dem dann Angriffe auf andere Ziele möglich werden, zeigt sich nun, dass dass offenbar auch die Besitzer der infizierten Geräte, im Visier der Angreifer stehen.
Im Rahmen von ersten Erkenntnissen durch die Cisco-Sparte Talos wurde eingeschätzt, dass weltweit mindestens 500.000 Geräte in 54 Ländern damit infiziert waren. Die Schadsoftware fand sich auf Netzwerkgeräte für KMU und Homeoffice-Nutzer von Linksys, MikroTik, Netgear und TP-Link sowie auf NAS-Produkten von QNAP. Die Angreifer haben damit die Möglichkeit, mittels zahlreicher Aktionen, die Besitzer ernsthaft zu schädigen.
Das empfehlen Hersteller
- AVM hatte bereits anlässlich der ersten Berichte zu VPNFilter in einem kurzen Sicherheitshinweis mitgeteilt, dass die Geräte der Berliner davon nicht betroffen sind.
- Besitzern der von Talos als angreifbar bezeichneten Geräte rät D-Link dringend, die neueste Firmware-Version einzuspielen.
- Auch Netgear geht davon aus, dass sich mit VPN-Filter hauptsächlich bereits bekannte und früher geschlossene Sicherheitslücken ausnutzen lassen. Empfehlung ist daher auch hier, die aktuelleste Version der jeweiligen Firmware zu verwenden.
- TP-Link rät Nutzern seiner Geräte zudem, sofern noch nicht geschehen, die ab Werk eingestellten Werte für den admimistrativen Benutzer zu ändern sowie Remote-Management-Funktionen abzustellen, wenn sie nicht tatsächlich gebraucht und verwendet werden.
Malware hat es in sich
Die von Cisco Talos vorgelegten, zusätzlichen Untersuchungsergebnisse zeigen, dass die Malware noch deutlich vielseitiger ist als zunächst angenommen. Das liegt vor allem an einem neu entdeckten Modul, das eine Man-in-the-Middle-Attacke auf eingehenden Web-Traffic ermöglicht. Die Angreifer können darüber von ihnen manipulierte Payloads in den Datenverkehr einschleusen.
Weiterführende Links:
Malware VPNFilter: Cyberkriminelle haben Ukraine im Visier
Malware VPNFilter: Alles auf Neustart
channelpartner.de: Router-Malware VPNFilter gefährlicher als bisher angenommen