Eine kürzlich bekannt gewordene Sicherheitslücke in Routern, auf denen Arcadyan-Firmware ausgeführt wird, wird derzeit von unbekannten Bedrohungsakteuren in freier Wildbahn ausgenutzt.
Die Sicherheitslücke, die von Tenable-Forschern am August bekannt gegeben wurde 3, gibt es schon seit mindestens einem Jahrzehnt. Betroffen sind mindestens 20 Router-Modelle von 17 Anbieter, einschließlich Verizon, Vodafone, Telus, Telstra, Asus, Beeline, British Telecom, Deutsche Telekom, Büffel, Orange. Der fragliche Fehler, bekannt unter der Kennung CVE-2021-20090, ist kritisch, mit einem CVSS-Score von 9.9.
Was ist CVE-2021-20090?
CVE-2021-20090 ist eine Path-Traversal-Schwachstelle in den Webschnittstellen von Routern, auf denen Arcadyan-Firmware ausgeführt wird. Der Fehler könnte es nicht authentifizierten Remote-Hackern ermöglichen, die Authentifizierung zu umgehen. Hacker nutzen es derzeit bei DDoS-Angriffen gegen Heimrouter aus, Infizierung mit einer Variante des berüchtigten Mirai-Botnets. Das Ergebnis sind DDoS-Angriffe. Eine erfolgreiche Ausbeutung würde den unbekannten Hackern Zugang zu sensiblen Informationen gewähren, wie gültige Anforderungstoken. Sobald sie erhalten, diese könnten dann verwendet werden, um Anfragen zur Änderung der Einstellungen des betroffenen Routers zu stellen.
Angriffe unter Ausnutzung von CVE-2021-20090
Im August 6, Juniper-Forscher „identifizierten einige Angriffsmuster, die versuchen, diese Sicherheitsanfälligkeit in freier Wildbahn von einer IP-Adresse in Wuhan auszunutzen“., Provinz Hubei, China." Es schien, dass die Hacker versuchten, eine Mirai-Variante ähnlich einem Angriff einzusetzen, der von Palo Alto Networks im März bekannt gegeben wurde 2021.
„Wir hatten die gleiche Aktivität ab Februar erlebt 18. Die Ähnlichkeit könnte darauf hindeuten, dass derselbe Bedrohungsakteur hinter diesem neuen Angriff steckt und versucht, sein Infiltrationsarsenal mit einer weiteren neu aufgedeckten Schwachstelle zu erweitern. Angesichts der Tatsache, dass sich die meisten Menschen möglicherweise nicht einmal des Sicherheitsrisikos bewusst sind und ihr Gerät in absehbarer Zeit nicht aktualisieren werden, diese Angriffstaktik kann sehr erfolgreich sein, günstig und einfach durchzuführen," Wacholder sagte.
Andere Sicherheitslücken, die neben CVE-2021-20090 ausgenutzt werden
Es scheint, dass dieses Path-Traversal-Problem bei Arcadyan-betriebenen Routern nicht das einzige ist, das die nicht identifizierten Hacker in der Vergangenheit ausgenutzt haben. Andere Schwachstellen umfassen CVE-2020-29557 in D-Link DIR-825 R1-Geräten, CVE-2021-1497 und CVE-2021-1498 in Cisco HyperFlex HX, CVE-2021-31755 in Tenda AC11, CVE-2021-22502 in Micro Focus Operation Bridge Reporter, und CVE-2021-22506 im Micro Focus Access Manager.
Um Risiken zu vermeiden, die sich aus einer Schwachstelle ergeben, Benutzer sollten ihre Router-Firmware auf die neueste Version aktualisieren, sobald ein Patch verfügbar ist.
Es ist bemerkenswert, dass Microsoft letzten Monat eine Reihe von Sicherheitslücken in Netgear Routern. Die Fehler könnten zu Datenlecks und vollständigen Systemübernahmen führen. Zum Glück, die Schwachstellen wurden vor der Veröffentlichung gepatcht.