Router unter Beschuss So schützen Unternehmen ihren Zugang zum Internet Banner

Router in Bedrängnis: So schützen Unternehmen ihren Zugang zum Internet

Modems und Router gehören nicht zu den glamourösesten vernetzten Technologien. Tatsächlich sind sie so allgegenwärtig, dass die meisten Unternehmen sie gar nicht mehr wahrnehmen. Allerdings erfüllen sie auch eine wichtige Funktion, denn sie ermöglichen vernetzten Geräten und Maschinen den Zugang zum öffentlichen Internet. Ohne sie wäre der Betrieb für die meisten Unternehmen schwierig.

Doch aufgrund ihrer Lage am Rand des Netzwerks sind Router auch ein zunehmend beliebtes Ziel. Es hilft nicht, dass viele von ihnen voller Schwachstellen sind und möglicherweise nicht so häufig aktualisiert werden wie andere kritische Geräte. Bericht von Forescout im Oktober veröffentlicht, warnt vor 14 neuen Firmware-Fehlern in DrayTek-Routern.

Es ist Zeit, den Schutz von Unternehmensroutern ernst zu nehmen.

Was ist mit DrayTek los?

Von den insgesamt 14 neuen Schwachstellen, die Forescout in Routern des taiwanesischen Herstellers entdeckt hat, werden zwei als kritisch eingestuft: CVE-2024-41592 hat einen maximalen CVSS-Score von 10, während CVE-2024-41585 mit 9.1 bewertet wird.

Bei ersterem handelt es sich um einen Pufferüberlauf in der GetCGI()-Funktion der DrayTek VigorConnect-Web-Benutzeroberfläche. Dieser könnte offenbar durch eine speziell gestaltete und übermäßig lange Abfragezeichenfolge an eine der 40 CGI-Seiten der Web-Benutzeroberfläche ausgelöst werden. Dies könnte wiederum dazu verwendet werden, einen Denial-of-Service-Angriff zu erreichen oder, in Verbindung mit dem OS-Befehlsinjektionsfehler CVE-2024-41585, Remote-Root-Zugriff auf das zugrunde liegende Host-Betriebssystem zu erlangen.

Dies könnte noch schwerwiegender sein, da es einem Angreifer die „Schlüssel zum Königreich“ in die Hand geben würde – und ihm laut Forescout die vollständige Fernsteuerung des angegriffenen Routers und – durch seitliche Bewegung – auch anderer Geräte im selben Netzwerk ermöglichen würde.

Die weltweite Beliebtheit von DrayTek-Routern verdeutlicht die Herausforderungen für Netzwerkverteidiger und die Möglichkeiten für Bedrohungsakteure. Laut Forescout waren zum Zeitpunkt der Erstellung des Berichts über 704,000 Router dem Internet ausgesetzt – und damit für Angriffe offen –, davon 425,000 in Großbritannien und der EU. Die meisten davon sind offenbar für den geschäftlichen Einsatz vorgesehen.

DrayTek hatte zum Zeitpunkt der Veröffentlichung des Berichts alle Firmware-Schwachstellen gepatcht. Dennoch gibt es keine Garantie dafür, dass Kunden die Updates anwenden, bevor potenzielle Versuche, sie auszunutzen, eintreten. Der Anbieter ist zudem bei weitem nicht der einzige Hersteller, dessen Produkte gefährdet sind. Im September fand eine gemeinsame Beratung von mehreren Five Eyes-Sicherheitsbehörden enthüllten die Existenz eines riesigen Botnetzes mit 260,000 entführten Geräten, darunter Router von MikroTik, Ubiquiti, Telesquare, Telstra, Cisco und NetGear.

Warum Router?

Modems und Router sind offensichtlich ein beliebtes Ziel für Bedrohungsakteure. Der Grund dafür ist, dass sie:

  • Sind oft voller ungepatchter Schwachstellen, die ausgenutzt werden könnten
  • Sie werden oft von KMUs mit weniger Sicherheitsressourcen und Know-how eingesetzt, was dazu führen kann, dass Router gefährdet sind
  • Können von Hackern leicht aus der Ferne gescannt werden
  • Möglicherweise nur durch werkseitige Standardanmeldeinformationen geschützt
  • Stellen ein Gateway zu anderen Geräten im selben Netzwerk dar und könnten daher als erster Zugriffsvektor für Ransomware und Datendiebstahl verwendet werden
  • Sie können gekapert und als Bots in einem größeren Botnetz verwendet werden, um DDoS-Angriffe auf andere zu starten oder ausgefeiltere Bedrohungskampagnen zu verschleiern.
  • Könnte als Command-and-Control-Server umfunktioniert werden (sofern es sich um Hochleistungsrouter handelt)

Geräte am Ende ihres Lebenszyklus (EoL) oder Ende des Verkaufs (EoS) sind besonders gefährdet, da Patches/Updates möglicherweise nicht vom Hersteller erhältlich sind. Forescout gibt an, dass 11 der 24 betroffenen DrayTek-Modelle, die in seiner Untersuchung aufgeführt sind, entweder EoL oder EoS waren. Selbst wenn Patches angewendet werden können, ist dies häufig nicht der Fall. Fast zwei Fünftel (40 %) der im Bericht aufgeführten Geräte sind laut Forescout immer noch anfällig für ähnliche Fehler, die vor zwei Jahren festgestellt wurden.

„Router können Zugriff auf oder sogar Kontrolle über Assets innerhalb des Netzwerks einer Organisation ermöglichen. Als Skelett der Netzwerke und Subnetzwerke, die sie bilden, sind sie eine großartige Ressource für einen Angreifer, die er infizieren kann“, sagt Adam Brown, leitender Sicherheitsberater von Black Duck Software, gegenüber ISMS.online.

„Darüber hinaus werden sie von Personen verwaltet, die über die höchsten Sicherheitszertifikate verfügen. Im Falle eines Angriffs geben diese den Bösewichten den Schlüssel zum Königreich.“

Dies ist keine theoretische Bedrohung. Neben der oben hervorgehobenen massiven chinesischen Drohkampagne können wir auf Folgendes hinweisen:

Volt-Taifun: Eine vom chinesischen Staat unterstützte APT-Gruppe nutzte Zero-Day-Schwachstellen in internetfähigen Netzwerkgeräten wie Routern, um strategisch wichtige kritische Infrastrukturnetzwerke in den USA zu kompromittieren. Das Endziel, so die Cybersecurity and Infrastructure Security Agency (CISA), bestand darin, im Falle eines militärischen Konflikts für zerstörerische Angriffe gewappnet zu sein.

BlackTech: Eine weitere chinesische APT-Gruppe hatte es auf verschiedene Organisationen in den USA und Japan abgesehen. Ihr Angriffsziel waren schlecht geschützte Router in Zweigstellen, sodass sich die Angreifer in den normalen Datenverkehr einschleichen konnten, während sie sich auf andere Geräte in der Unternehmenszentrale konzentrierten. In einigen Fällen erlangten die Angreifer Administratorrechte, wodurch sie die Firmware auf den Routern ersetzen und/oder die Protokollierung deaktivieren konnten, um ihre Spuren zu verwischen.

Cyclops Blink und VPNFilter: Zwei ausgeklügelte mehrjährige Kampagnen der russischen Sandworm-Gruppe, die auf Router in kleinen Büros und Heimbüros (SOHO) und andere Netzwerkgeräte abzielten. Einsatz der gleichnamigen Malware wurde beschrieben als „wahllos und weit verbreitet“, was Beobachter zu der Vermutung veranlasste, dass der Zweck darin bestand, Botnetze zu schaffen, die in der Lage sind, Bedrohungskampagnen gegen andere Ziele zu starten.

APT28/Fancy Bear: Eine produktive russische Bedrohungsgruppe zielte im Rahmen einer groß angelegten Kampagne darauf ab, „bösartige Cyberoperationen weltweit zu erleichtern“ – unter anderem durch das Hosten von Spear-Phishing-Seiten und benutzerdefinierten Angriffstools.

So verringern Sie die Bedrohung

Einige US-Gesetzgeber wollen in China hergestellte Router untersuchen, um die Bedrohung durch Cyber-Spionage aus Peking einzudämmen. Dies wird jedoch nichts dazu beitragen, das Problem zu lösen, dass anderswo hergestellte Router durch gestohlene/brute-forced Zugangsdaten oder die Ausnutzung von Schwachstellen gekapert werden. Wie können Organisationen also ihre Router besser schützen? Einige bewährte Vorgehensweisen können dabei helfen.

Ein guter Ausgangspunkt ist bewährte Cyber-Hygiene wie:

  • Regelmäßiges Patchen der Firmware, sobald Updates verfügbar sind, wobei nach Möglichkeit automatisierte Update-Kanäle verwendet werden
  • Ersetzen von Standardkennwörtern durch starke, eindeutige Anmeldeinformationen
  • Deaktivieren nicht verwendeter Dienste und Ports wie UPnP, Remoteverwaltung, Dateifreigabe usw.
  • Umgehender Austausch von EoL-Kits, um maximalen Schutz vor Missbrauch zu gewährleisten.

Brown von Black Duck Software fügt hinzu, dass Zero-Trust-Sicherheitsansätze Unternehmen auch dabei helfen würden, Router-Sicherheitsrisiken zu mindern, wie etwa die Netzwerküberwachung auf ungewöhnliches Verkehrsaufkommen und Segmentierung neben Least-Privilege-Zugriffsrichtlinien.

„Bei der Bereitstellung von Netzwerken und damit auch von Routern muss die Sicherheitsarchitektur berücksichtigt werden. Dabei muss darauf geachtet werden, dass der Zugriff auf Routerkonsolen über entsprechende Sicherheitskontrollen verfügt“, fügt er hinzu. „Netzwerk-Vertrauenszonen müssen berücksichtigt werden, und ein Zero-Trust-Ansatz für die Architektur auf allen Ebenen wird dazu beitragen, den Explosionsradius im Falle eines Vorfalls zu begrenzen.“

Wie die obigen Beispiele zeigen, sind mächtige staatlich unterstützte Gruppen sowie hochentwickelte Cybercrime-Organisationen darauf aus, Sicherheitslücken auszunutzen, um Router und die damit verbundenen Netzwerke zu kapern. Da KMUs im Fadenkreuz stehen, ist es an der Zeit, diese kritische Sicherheitslücke zu schließen.

Autor

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Alle Beiträge von Phil Muncaster anzeigen

Zusammenhängende Posts

DORA ist da! Steigern Sie noch heute Ihre digitale Belastbarkeit mit unserer leistungsstarken neuen Lösung!