Start Empfohlen Eine VPNFilter-Malware-Infektion ist viel schlimmer als zunächst angenommen – ist Ihr Router...

Eine VPNFilter-Malware-Infektion ist viel schlimmer als zunächst angenommen – ist Ihr Router betroffen?

43
0


VPNFilter

Es ist erst ein paar Wochen her, seit wir zum ersten Mal von der VPNFilter-Malware gehört haben. Die mit Russland verbundene Malware hat 500.000 Router auf der ganzen Welt getroffen, aber jetzt warnen die Sicherheitsforscher von Cisco Talos, dass das Problem viel schlimmer ist, als alle dachten.

Ursprünglich gedacht, um nur SOHO-Router und Speichergeräte von Linksys, MikroTik, Netgear, TP-Link und QNAP zu betreffen, wurde die Risikoliste um Router von Linksys, MikroTik, Netgear und TP-Link erweitert. Forscher haben außerdem herausgefunden, dass die Malware mächtiger ist als anfängliche Einschätzungen vermuten ließen – sie ist nun dafür bekannt, die SSL-Verschlüsselung zu umgehen und Man-in-the-Middle-Angriffe durchzuführen.

Talos erklärt, dass neben den neuen Hardwaremarken, die in die Liste der Zielgeräte aufgenommen wurden, auch bisher unbekannte Fähigkeiten entdeckt wurden. In einem aktualisierten Blogeintrag, erklären die Forscher: „Wir haben auch ein neues Modul der Stufe 3 entdeckt, das schädliche Inhalte in den Webverkehr einfügt, während er ein Netzwerkgerät durchläuft. Zum Zeitpunkt unserer ersten Veröffentlichung lagen uns nicht alle Informationen über die vermutete Stufe vor.“ 3 Module. Das neue Modul ermöglicht es dem Akteur, Exploits über eine Man-in-the-Middle-Fähigkeit an Endpunkte zu liefern (z bestätigen, dass die Bedrohung über das hinausgeht, was der Akteur auf dem Netzwerkgerät selbst tun könnte, und die Bedrohung auf die Netzwerke ausdehnt, die ein kompromittiertes Netzwerkgerät unterstützt.“

Sie sagen weiter:

Darüber hinaus haben wir ein zusätzliches Modul der Stufe 3 entdeckt, das jedem Modul der Stufe 2, dem der Befehl kill fehlt, die Möglichkeit bietet, das Gerät zu deaktivieren. Bei der Ausführung entfernt dieses Modul gezielt Spuren der VPNFilter-Malware vom Gerät und macht das Gerät dann unbrauchbar.

Derzeit sind keine Zero-Day-Schwachstellen im Zusammenhang mit VPNFilter bekannt, Angriffe sind jedoch über bekannte Schwachstellen möglich.

Juniper Netzwerke schlüsselt die wichtigsten Erkenntnisse über die Malware auf:

  1. Die Liste der betroffenen Router-Marken wächst weiter, beschränkt sich jedoch immer noch auf Marken, die das Marktsegment Small Office / Home Office abdecken. Es sind keine Unternehmensmarken betroffen. Es wird davon ausgegangen, dass die Router von Juniper Networks nicht betroffen sind.
  2. Die Malware kann Geräte hinter einem infizierten Router infizieren, indem sie Inhalte in den Webverkehr injiziert und versucht, die Endpunkte auszunutzen. Dies bedeutet nicht, dass es beim Versuch der Ausbeutung erfolgreich sein wird. Es bedeutet lediglich, dass der Exploit versucht wird, ohne dass ein Benutzer eine kompromittierte Website besuchen, auf einen schädlichen Link klicken oder einen schädlichen E-Mail-Anhang öffnen muss.
  3. Die Malware verfügt über ein Stufe-3-Modul, das das infizierte Gerät funktionsunfähig machen kann. Ursprünglich wurde angenommen, dass dies nur in einer Malware der Stufe 2 existiert, aber es scheint, dass ein Modul der Stufe 3 die gleiche Fähigkeit bietet. Dies lässt uns vermuten, dass die Stufe-2-Malware in früheren Zeiten dieser Kampagne nicht über diese Fähigkeit verfügte und erst vor kurzem eingeführt wurde. Um die frühe Infektion abzudecken, wurde diese Modulfunktion der Stufe 3 hinzugefügt.

Die Liste der gefährdeten Geräte finden Sie unten. Wenn Sie Ihre Hardware in der Liste sehen, sollten Sie sie neu starten und sicherstellen, dass Sie die neueste offizielle Firmware installiert haben. In einigen Fällen kann es erforderlich sein, die Hardware einfach auszutauschen.

  • ASUS-GERÄTE:
    • RT-AC66U (neu)
    • RT-N10 (neu)
    • RT-N10E (neu)
    • RT-N10U (neu)
    • RT-N56U (neu)
    • RT-N66U (neu)
  • D-LINK-GERÄTE:
    • DES-1210-08P (neu)
    • DIR-300 (neu)
    • DIR-300A (neu)
    • DSR-250N (neu)
    • DSR-500N (neu)
    • DSR-1000 (neu)
    • DSR-1000N (neu)
  • HUAWEI-GERÄTE:
  • LINKSYS-GERÄTE:
    • E1200
    • E2500
    • E3000 (neu)
    • E3200 (neu)
    • E4200 (neu)
    • RV082 (neu)
    • WRVS4400N
  • MIKROTIK-GERÄTE:
    • CCR1009 (neu)
    • CCR1016
    • CCR1036
    • CCR1072
    • CRS109 (neu)
    • CRS112 (neu)
    • CRS125 (neu)
    • RB411 (neu)
    • RB450 (neu)
    • RB750 (neu)
    • RB911 (neu)
    • RB921 (neu)
    • RB941 (neu)
    • RB951 (neu)
    • RB952 (neu)
    • RB960 (neu)
    • RB962 (neu)
    • RB1100 (neu)
    • RB1200 (neu)
    • RB2011 (neu)
    • RB3011 (neu)
    • RB-Nut (neu)
    • RB Omnitik (neu)
    • STX5 (neu)
  • NETGEAR-GERÄTE:
    • DG834 (neu)
    • DGN1000 (neu)
    • DGN2200
    • DGN3500 (neu)
    • FVS318N (neu)
    • MBRN3000 (neu)
    • R6400
    • R7000
    • R8000
    • WNR1000
    • WNR2000
    • WNR2200 (neu)
    • WNR4000 (neu)
    • WNDR3700 (neu)
    • WNDR4000 (neu)
    • WNDR4300 (neu)
    • WNDR4300-TN (neu)
    • UTM50 (neu)
  • QNAP-GERÄTE:
    • TS251
    • TS439 Pro
    • Andere QNAP NAS-Geräte mit QTS-Software
  • TP-LINK-GERÄTE:
    • R600VPN
    • TL-WR741ND (neu)
    • TL-WR841N (neu)
  • UBIQUITI-GERÄTE:
  • UPVEL-GERÄTE:
  • ZTE-GERÄTE:



Vorheriger ArtikelMit Windows 7 im Todeskampf enthüllt Microsoft die Skylake-Systeme, die weiterhin unterstützt werden
Nächster ArtikelMicrosoft erwirbt das mobile E-Mail-Unternehmen Acompli – dieses Mal ist es echt

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein