Angriffe auf DrayTrec-Router gefährden Firmennetze

Aktuell greift eine unbekannte Hackergruppe DrayTrec-Router und VPNs, die häufig in Firmen eingesetzt werden, an. Hier ein paar Informationen, was aktuell bekannt ist.


Anzeige

Ich bin sowohl auf Twitter als auch über diesen The Hacker News-Artikel auf dieses Thema aufmerksam geworden.

Sicherheitsforscher von Qihoo 360 haben diese Angriffe beobachtet und die Tage öffentlich gemacht. Es gibt eit dem 4. Dezember 2019 wohl mindestens zwei 0-day-Angriffskampagnen in freier Wildbahn, die auf im Unternehmensumfeld eingesetzte Netzwerkgeräte des taiwanesischen Herstellers DrayTek zielen.

Die Angriffe versuchen zwei 0-day-Schwachstellen von DrayTek Vigor Enterprise-Routern und Switch-Geräten auszunutzen. Sind die Geräte angreifbar, werden eine Reihe von Angriffen durchgeführt. Dazu gehört das Abhören des Netzwerkverkehrs der Geräte, das Ausführen von SSH-Diensten auf diversen Ports, das Erstellen von System-Backdoor-Konten und sogar das Erstellen einer speziellen bösartigen Web-Session-Backdoor.

E-Mail- und FTP-Verkehr abfangen

Der anspruchsvollere der beiden Angriffe auf DrayTek-Geräte fiel den Sicherheitsforschern am 4. Dezember 2019 auf. Laut Qihoo nutzen die Angreifer eine Schwachstelle im RSA-verschlüsselten Anmeldemechanismus der DrayTek-Geräte, um bösartigen Code im Anmeldefeld des Routerzugangs zu verstecken.

Als ein DrayTek-Router die RSA-verschlüsselten Anmeldedaten, die von einem Boobytrapplet erfasst wurden, empfing und entschlüsselte, führte er den bösartigen Code aus und gewährte den Hackern die Kontrolle über den Router.

Anstatt das Gerät zu missbrauchen, um DDoS-Angriffe zu starten oder den Datenverkehr als Teil eines Proxy-Netzwerks umzuleiten, verwandelten die Hacker den Router in eine Spionagebox. Die Forscher schreiben, dass die Hacker ein Skript eingesetzt haben, das den Verkehr über Port 21 (FTP – Dateiübertragung), Port 25 (SMTP – E-Mail), Port 110 (POP3 – E-Mail) und Port 143 (IMAP – E-Mail) aufzeichnet.


Anzeige

Das Skript transferiert den gesamten aufgezeichneten Datenverkehr an jedem Montag, Mittwoch und Freitag um 00:00 Uhr auf einen Remote-Server. Details finden sich im Qihoo-Dokument. Warum die Angreifer den FTP- und E-Mail-Verkehr sammelten, ist unklar. Möglicherweise wollte man nur Informationen sammeln, um später gezielt zuzuschlagen.

Backdoor-Konten einrichten

Die zweite Angriffsgruppe nutzt einen anderen 0-day-Exploit, der erstmalig in einem Beitrag vom 26. Januar im Skull Army-Blog beschrieben wurde. Zwei Tage später begannen die Hacker den Exploit auszunutzen.

Laut Qihoo nutzen die Hacker einen Fehler im “rtick”-Prozess auf anfälligen DrayTek-Geräten aus, um Backdoor-Konten auf den gehackten Routern zu erstellen. Was die Angreifer mit diesen Konten gemacht haben, ist bisher unbekannt.

Seit Februar 2020 gibt es Firmware-Updates

Qihoo informierte DrayTek über beide 0-day-Schwachstellen, wobei die erst Warnung wohl nie die zuständigen Mitarbeiter von DrayTek erreichte. Erst nachdem die zweite Angriffswelle mit den Backdoor-Konten lief, wurde der Hersteller aktiv. DrayTek veröffentlichte am 10. Februar 2020 Firmware-Updates, darunter sogar einen Firmware-Patch für ein inzwischen eingestelltes Router-Modell.

Laut Qihoo finden Angriffe gegen die DrayTek Vigor Router-Modelle 2960, 3900 und 300B statt. ZDnet schreibt in seinem Artikel, dass man mit Hilfe der BinaryEdge-Suchmaschine mehr als 978.000 DrayTek Vigor-Geräte im Internet finden konnte. Laut Qihoo laufen nur etwa 100.000 davon mit einer Firmware-Version, die anfällig für Angriffe ist.


Anzeige


Dieser Beitrag wurde unter Geräte, Netzwerk, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Angriffe auf DrayTrec-Router gefährden Firmennetze


  1. Anzeige
  2. Gerold sagt:

    “Angriffe auf DayTrec-Router gefährden Firmennetze”

    Die Dinger heissen DrayTek und nicht DayTrec

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.