Schwachstelle Router
Home Office-WLAN-Router werden für Cyberangriffe auf Gaming-Server genutzt
IT-Security-Forscher von Palo Alto Networks warnen vor Router Schwachstelle
Unit 42, das Security-Forschungsteam von Palo Alto Networks, hat während der proaktiven Jagd auf IoT-Bedrohungen eine aktualisierte Variante von Gafgyt entdeckt. Diese versucht, IoT-Geräte zu infizieren, insbesondere WLAN-Router für den Small-Office-/Home-Office-Einsatz von bekannten Markenherstellern wie Zyxel, Huawei und Realtek.
Die entdeckte Gafgyt-Variante ist ein konkurrierendes Botnet zum JenX-Botnet, das auch Remote Code Execution Exploits nutzt, um sich Zugriff zu erhalten und Router für Botnets zu rekrutieren, die dazu dienen, Gaming-Server anzugreifen und einen Denial of Service (DoS) zu verursachen. Im Visier stehen insbesondere Gaming-Server mit der Valve Source Engine. Diese Variante von Gafgyt steht im Wettbewerb mit ähnlichen Botnets, die über Instagram verkauft werden.
Shodan-Scans zufolge gibt es weltweit mehr als 32.000 WLAN-Router, die für diese Angriffe potenziell anfällig sind. Außerdem missbraucht diese Variante eine weitere Schwachstelle im Vergleich zu JenX:
- CVE-2017-18368 – ZYXEL P660HN-T1A (neu in dieser Variante)
- CVE-2017-17215 – Huawei HG532 (auch bei JenX)
- CVE-2014-8361 – Realtek RTL81XX Chipset (auch bei JenX)
WLAN-Router sind branchenübergreifend eines der häufigsten IoT-Geräte in Unternehmen. Dies macht sie zu Zielen für IoT-Botnets, um das Produktionsnetzwerk und die Reputation der IP-Adressen des betroffenen Unternehmens zu kompromittieren. Darüber hinaus verschaffen sich Botnets Zugriff auf IoT-Geräte, indem sie Exploits anstelle von typischen Dictionary-Angriffen verwenden (bei denen das Botnet versucht, sich über ungesicherte Dienste wie Telnet bei dem Gerät anzumelden). Dies hilft dem Botnet, sich leichter über IoT-Geräte zu verbreiten, auch wenn Administratoren ungesicherte Dienste deaktiviert haben und sichere Zugangsdaten verwenden.
Gafgyt ist ein Botnet, das erstmals 2014 aufgedeckt wurde und sich für die Akteure bei großen DDoS-Angriffen (Distributed Denial-of-Service) bereits bewährt hat. Seitdem kamen viele Varianten hinzu, die auf verschiedene Arten von Geräten in verschiedenen Branchen ausgerichtet sind. Bekanntlich besteht eine starke Verbindung zwischen Botnetzen und Gaming-Servern. Wie bereits beschrieben, zielen die Angriffe auf Gaming-Server, auf denen die Valve Source Engine läuft. Diese Engine läuft unter anderem bei Spielen wie Half-Life und Team Fortress 2. Dies ist kein Angriff auf die Valve Corporation selbst, da jede Gaming-Plattform einen Server für diese Spiele in ihrem eigenen Netzwerk betreiben kann. Es ist ein Angriff auf die Server.
Die neue Gafgyt-Variante verwendet drei „Scanner“, die versuchen, bekannte Schwachstellen bei der Ausführung von Remote-Code auszunutzen, die auf den oben genannten Routern vorhanden sind. Diese Scanner ersetzen den typischen Dictionary-Angriff, der in anderen IoT-Botnetzen üblich ist. Die Exploits wurden so konzipiert, dass sie als Binär-Dropper funktionieren, die die entsprechende Binärdatei von einem bösartigen Server beziehen, je nachdem, welche Art von Gerät sie zu infizieren versuchen. Sobald die Malware auf einem kompromittierten Gerät ausgeführt wird, verbindet sie sich mit einem C2-Server, der mit dem Binär-Dropper-Server identisch ist, und sendet die Geräteinformationen an das Botnet. Sobald das Gerät dem Botnet beitritt, erhält es Befehle, um verschiedene Arten von DoS-Angriffen auszuführen. Dies zeigt, warum Unternehmen jeder Branche die IoT-Sicherheit ernstnehmen und Maßnahmen ergreifen müssen, um zu verhindern, dass Geräte in ihrem Netzwerk kompromittiert werden und dadurch die Geschäftskontinuität beeinträchtigt wird.
Weitere Details finden Interessiert unter https://unit42.paloaltonetworks.com/home-small-office-wireless-routers-exploited-to-attack-gaming-servers/