Schockierende Sicherheitslücke bei Asus-Routern

Tausende Asus-Router sind ab sofort gefährdet! Unbekannte Hacker haben den Zugriff auf die Geräte übernommen, und das Schockierendste? Ein einfacher Neustart oder das Update der Firmware kann diesen Zugriff nicht verhindern. Laut dem IT-Sicherheitsunternehmen GreyNoise könnte dies der Anfang eines massiven Botnetzes sein.

Wie die Angreifer agieren

Die Hintergründe sind alarmierend: Die Angreifer nutzen verdeckte Methoden, um sich tief im System einzunisten, indem sie vertrauliche Systembefehle manipulieren. Dies deutet auf äußerst talentierte Kriminelle hin, die gut ausgestattet sind. Für Router, die noch nicht betroffen sind, stehen Patches bereit, doch die Gefahr ist größer als je zuvor.

Die Gefahr bleibt bestehen

GreyNoise erklärt in einem aktuellen Blogbeitrag, dass die Angreifer ihre Zugangsversuche durch brutale Login-Versuche („Brute Force“) unbemerkt durchführen. Dabei nutzen sie Sicherheitslücken, die zwar geschlossen, aber nicht offiziell registriert sind. Eine besonders kritische Schwachstelle (CVE-2023-39780) wurde bereits behoben, doch die Hintertür bleibt bestehen.

Hintertür unauffindbar

Die Hintertür der Angreifer ist in nicht-flüchtigem NVRAM gespeichert, was bedeutet, dass sie auch nach einem Neustart oder einem Firmware-Update weiterhin existiert. Zudem wird keine Malware auf den Routern installiert, wodurch die Protokollierung der Aktivitäten unwirksam gemacht wird. Diese raffinierte Methode erschwert die Entdeckung und Bekämpfung der Angreifer erheblich.

Frühzeitige Entdeckung und Alarmierung

GreyNoise hat die Kampagne bereits Mitte März dank einer KI entdeckt, die ungewöhnliche Netzwerkaktivitäten bemerkte. Am 23. März wurde Asus informiert, nachfolgend wurden schnell Patches entwickelt. Aktuellen Zahlen zufolge sind fast 9000 Router betroffen, und es werden weiterhin mehr. Die genauen Modelle werden nicht genannt, jedoch werden betroffene IP-Adressen dokumentiert.

Was können Benutzer tun?

GreyNoise empfiehlt nun, zu überprüfen, ob der SSH-Zugriff auf dem Port TCP/53282 bei den eigenen Asus-Routern aktiviert ist. Nutzer sollten auch die Datei "authorized_keys" auf unbefugte Einträge überprüfen. Ist ein Gerät bereits kompromittiert, bleibt nur der letzte Ausweg: Zurücksetzen auf die Werkseinstellungen und eine komplette Neukonfiguration. Seien Sie wachsam, schützen Sie Ihre Geräte!