„Moon“-Wurm infiziert Router-Modelle für Kleinunternehmen – erhebliche Schwachstellen befördern die Gefahr

Viele Router, die in Kleinunternehmen eingesetzt werden, weisen einige Sicherheitsschwachstellen auf – laut einer Studie von Tripwire sind es bis zu 80 % der Modelle für Kleinunternehmen, bzw. Home Offices. Die Untersuchung hat zudem ergeben, dass einige IT-Fachleute, die im Außendienst arbeiten, selbst grundlegende Sicherheitsstandards nicht einhalten.

Dieser Bericht wurde im Zuge der Entdeckung eines rätselhaften Wurms namens „The Moon“ veröffentlicht, von dem auch schon auf WeLiveSecurity berichtet wurde. Der Wurm infiziert verschiede Modelle von Linksys-Routern – das Internet Storm Center hat nun eine Warnung vor einer eventuellen Massen-Infizierung herausgegeben.

Die Router, die gemeinhin in Kleinunternehmen verwendet werden, sind für solche Angriffe eine leichte Beute. Tripwires Sicherheitsteam hat die 25 Bestseller auf Amazon analysiert und herausgefunden, dass sie zum Teil ein sehr großes Schadenspotenzial aufweisen.

Laut der Analyse besitzen 80 % der 25 am meisten verkauften Geräte Schwachstellen in Bezug auf die Sicherheit. Wie einem Bericht der International Business Times zu entnehmen, wurden zudem in 34 % der Router öffentlich dokumentierte Lücken gefunden, die Cyber-Kriminellen ermöglichen, entweder zielgerichtete oder allgemeine Angriffe zu konstruieren.

David Harley, Wissenschaftlicher Mitarbeiter bei ESET, sagte in einem Interview mit dem Infosecurity Magazine: „Im Prinzip könnte man bei dem Zugriff auf den Router durch einen Browser oder eine spezielle App nach verschiedenartigen Schwachstellen Ausschau halten, aber wie praktisch das bei einer Vielzahl von Router-Hardware wäre, ist eine andere Frage. Codes, die eine solche Infizierung auslösen sollen, können natürlich aufgespürt werden, wenn sie in einer Form auftreten, die man durch Sicherheitssoftware scannen kann. Wenn eine Infizierung aber von Router zu Router springt, wie es ‚The Moon‘ tut, wird man das auf dem Endpoint vermutlich nicht erkennen.“

Der Bericht vom Infosecurity Magazine beschreibt zudem, dass diese Risiken durch fehlerhaftes Verhalten von IT-Mitarbeitern verschlimmert werden. Eine Studie hat ergeben, dass von 653 IT- und Sicherheitsfachleuten und 1.009 Außendienstmitarbeitern 30 % der ersten Gruppe und 46 % der zweiten die voreingestellten Passwörter auf ihrem Router nicht ändern. Fast die Hälfte der befragten Mitarbeiter nutzen außerdem WPS, ein unsicheres Standard, bei dem Kriminelle Passwörter leicht knacken können.

Mehr als die Hälfte aller Befragten haben die Firmware auf ihren Routern nicht aktualisiert – und setzen sich selbst damit großen Gefahren aus.

„Router sind das ideale Ziel für Cyber-Angriffe, weil man den ein- und ausgehenden Verkehr in der Nähe von Unternehmenszugangspunkten aushorchen kann. Nachdem ein Angreifer die Kontrolle über einen Router erlangt hat, kann er jegliche Online-Aktivitäten aufzeichnen, umleiten, blockieren oder auf andere Art manipulieren.“, erklärt Tripwire in einer Stellungnahme.

Die BBC berichtet, dass Sicherheitsfehler bei einigen Router-Modellen – unter anderem von Linksys und Asus – immer wieder Angriffe nach sich ziehen. So hat z.B. eine Hacker-Gruppe in Polen Schwachstellen ausgenutzt, um Bargeld zu stehlen.

Johannes B. Ulrich vom Internet Storm Center sagte: „Bisher wissen wir, dass es einen Wurm gibt, der sich auf unterschiedlichen Modellen von Linksys-Routern ausbreitet. Ein Wurm deshalb, weil er zurzeit nichts anderes tut als sich auszubreiten. Wir wissen nicht sicher, ob eine Command-and-Control-Technologie dahintersteckt, aber es gibt einiges, was dafürspricht. Der Wurm beinhaltet einfache HTML-Seiten mit freundlichen Abbildungen, die mehr wie eine Visitenkarte wirken. Die Abbildungen basieren auf dem Film „The Moon“, daher der Name des Wurms.“

„‚The Moon‘ ist ein Indikator dafür, dass Angriffe auf Router in nächster Zeit zunehmen werden, weil kriminelle Akteure so an viele Informationen gelangen können“, erklärte Craig Young, Sicherheitsforscher bei Tripwire. „Leider ändern Nutzer die voreingestellten Administratorenpasswörter oder IPs auf diesen Geräten nicht. Derartiges Verhalten zusammen mit den verbreiteten Authentifizierungsschwachstellen öffnet Angriffen durch schädliche Webseiten, Browser, Plug-Ins und Apps Tor und Tür.“

Autor , We Live Security