Schock für Asus-Router: Raffinierte Angriffe offenbaren massive Sicherheitslücken

Ein Sicherheitsrisiko von beträchtlicher Auswirkung erschüttert aktuell das Umfeld von Asus-Routern. GreyNoise, ein IT-Sicherheitsunternehmen mit Expertise im Bereich der Threat Intelligence, hat die Infiltration Tausender Router durch unbefugte Akteure aufgedeckt. Diese Angriffe zeichnen sich durch eine besonders raffinierte Vorgehensweise aus, wobei der Erwerb unerlaubten Zugriffs nicht einmal durch Neustarts oder Firmware-Updates verhindert werden kann. Die dahintersteckende Methodik lässt auf ein ambitioniertes und gut ausgerüstetes Angriffsteam schließen, das tiefgehendes Fachwissen im Umgang mit Router-Architekturen besitzt.

Der Initialzugriff erfolgt über massierte Brute-Force-Anläufe bei Loginversuchen, um Authentifizierungsmechanismen zu überwinden. Hierbei werden Sicherheitslücken ausgenutzt, die zwar keine offizielle CVE-Kennzeichnung erhielten, aber mittlerweile durch Asus geschlossen wurden. In einem weiteren Schritt exploitierten die Angreifer eine bereits gepatchte Schwachstelle (CVE-2023-39780), welche ebenfalls von Asus adressiert wurde. Dieser Exploit ermöglicht den dauerhaften Zugriff von außen auf das angegriffene System. Um diesen dauerhaften Zugang zu gewährleisten, wird eine Hintertür im nichtflüchtigen NVRAM abgelegt. Diese Backdoor ist durch einen einfachen Neustart oder ein Firmware-Update nicht eliminierbar. Signifikant ist dabei, dass keine Malware installiert und die Logging-Funktion deaktiviert wird, was den Angriff zusätzlich verschleiert und die Detektion erschwert.

GreyNoise identifizierte diese Kampagne Mitte März mithilfe einer KI, die auf anomalem Netzwerkverkehr reagierte. Asus wurde am 23. März über das Problem informiert und veröffentlichte daraufhin Patches zur Behebung der Schwachstellen. Laut Angaben von GreyNoise waren zu diesem Zeitpunkt nahezu 9.000 Router betroffen, wobei sich die Anzahl vermutlich weiter erhöht hat. Neben der Auflistung von mit dem Angriff verbundenen IP-Adressen empfiehlt GreyNoise eine genaue Prüfung, ob auf eigenen Asus-Routern der SSH-Zugriff über den Port TCP/53282 aktiviert ist und ob in der Datei authorized_keys unzulässige Einträge vorhanden sind. Falls ein Gerät bereits kompromittiert ist, bleibt nur die vollständige Zurücksetzung auf Werkseinstellungen und eine manuelle Neukonfiguration als Lösungsansatz. Dieser Vorfall unterstreicht die wachsende Komplexität von Cyberbedrohungen und die Notwendigkeit kontinuierlicher Sicherheitsüberwachung und -verbesserung im Umfeld von Netzwerkgeräten wie Routern.

Schlagwörter: GreyNoise + Asus + Tausender

Wie bewerten Sie den Schreibstil des Artikels?