Zusammenfassung
Am 3. August meldete Tenable Security eine Sicherheitslücke in einer Reihe von Routern für Privatanwender von Buffalo Technologies, die von Arcadyan entwickelte Firmware verwenden. Drei Tage später bestätigten die Forscher, dass Angreifer die Schwachstelle aktiv ausnutzen, um Malware zu installieren.
Analyse
Mit Stand vom 12. August hat Censys 4.378 Geräte identifiziert, die mit dem von Tenable veröffentlichten Fingerabdruck übereinstimmen. Arcadyan-Geräte reagieren mit mehreren Unterscheidungsmerkmalen, darunter eindeutige Header-Werte in HTTP-Antworten und mehrere SSL-Zertifikate, darunter:
Die Durchführung einer Censys Zertifikatsanalyse für diese drei Fingerabdrücke bestätigt, dass diese Zertifikate gemeinsame Werte aufweisen und es uns ermöglichen, in einem breiteren Rahmen nach Hosts zu suchen:
Angesichts der Tatsache, dass viele der eingehenden Berichte behaupten, dass "Millionen" von Geräten betroffen sind, ist es offensichtlich, dass Censys nur einen winzigen Bruchteil dieser Hosts finden konnte, die im öffentlichen Internet lauschen.
Da diese Hersteller in erster Linie in Europa und Ostasien tätig sind, wurden die Geräte Censys in den Gebieten identifiziert, die in der geografischen Heatmap unten zu sehen sind.
Aus den folgenden Tabellen geht hervor, dass sich die meisten dieser Geräte in Japan(57 % mit 2.534 Hosts), Spanien(11 % mit 522 Hosts) und Argentinien(7 % mit 320 Hosts) befinden.
| Standort |
Hosts |
|
| Japan |
2,534 |
57.88% |
| Spanien |
522 |
11.92% |
| Niederlande |
320 |
7.31% |
| Argentinien |
300 |
6.85% |
| Deutschland |
278 |
6.35% |
| Vereinigtes Königreich |
96 |
2.19% |
| Australien |
68 |
1.55% |
| Italien |
38 |
0.87% |
| Russland |
38 |
0.87% |
| Tschechische Republik |
27 |
0.62% |
| andere |
157 |
3.59% |
| Insgesamt |
4,378 |
100.0% |
Vollständige Zeitleiste der Ereignisse
Die Forscher von Tenable meldeten die Schwachstelle zunächst einem einzigen Hersteller, Buffalo, der das Problem am 24. Februar bestätigte und es an die Buffalo-Niederlassung in Japan weiterleitete. Etwa zu diesem Zeitpunkt entdeckte Tenable, dass die Schwachstelle nicht spezifisch für Buffalo war, sondern für alle Geräte, die die vom Hersteller Arcadyan entwickelte Firmware verwenden.
Tenable-Forscher fanden den verwundbaren Code in einer Programmierbibliothek, die von 13 ISPs in 11 Ländern verwendet wird und seit schätzungsweise zehn Jahren verwundbar ist.
Anfällige Geräte können mit einem einfachen Directory-Traversal-Exploit kompromittiert werden, der es einem Angreifer ermöglicht, die Konfiguration des Geräts zu ändern, um Shell-Zugriff zu ermöglichen und den Authentifizierungsschritt zu umgehen. Tenable hat hier einen detaillierten Artikel über den gesamten Ausnutzungsprozess veröffentlicht.
Arcadyan bestätigte die Probleme am 25. April und informierte Tenable, dass ein Patch in Arbeit sei. Als Tenable um eine Liste der betroffenen Geräte bat, schwieg Arcadyan, und wie sich herausstellte, war diese Liste ziemlich umfangreich.
Am 5. August postete das Threat-Intelligence-Unternehmen Bad Packets den folgenden Tweet, in dem es behauptete, dass es Angreifer beobachtet habe, die nach anfälligen Buffalo-Routern suchten:
Am 6. August, nur drei Tage nach der Veröffentlichung des Berichts, bestätigte Juniper Threat Labs, dass der Fehler aktiv von einer Gruppe von Angreifern genutzt wird, die in der Vergangenheit ähnliche Angriffe auf Heimnetzwerkgeräte durchgeführt haben, um die IoT-Botnet-Malware Mirai zu installieren.
haben wir einige Angriffsmuster identifiziert, die versuchen, diese Sicherheitslücke von einer IP-Adresse in Wuhan, Provinz Hubei, China, auszunutzen.
- Juniper Threat Labs
Warum ist das wichtig?
Da Juniper nun bestätigt hat, dass Angreifer versuchen, diese Schwachstelle zu nutzen, um das Mirai-Botnetz zu installieren, könnten ungeschützte Geräte unwissentlich andere Hosts scannen und angreifen, an orchestrierten verteilten Denial-of-Service-Angriffen teilnehmen und betrügerische Aktivitäten durchführen.
Am beunruhigendsten an dem ganzen Schlamassel ist die Zeitspanne zwischen der öffentlichen Bekanntgabe und der bestätigten aktiven Ausnutzung. Sicherheitsforschung ist keine Einbahnstraße, und wenn es um die Entdeckung von Schwachstellen geht, sollte man immer davon ausgehen, dass die Bösewichte dieselben Informationsströme verfolgen wie die Verteidiger.
Was kann ich dagegen tun?
Die Liste der gefährdeten Geräte wird immer länger, und an der Malware-Front werden immer neue Details bekannt. Wir können nicht davon ausgehen, dass der durchschnittliche Internetnutzer mit den Sicherheitstrends Schritt hält und sich aktiv am Patch-Management beteiligt. Die einzige Abhilfe ist eine klare Kommunikation zwischen den Dienstanbietern und ihren Kunden, damit diese Geräte umgehend aufgerüstet werden.
- Aktualisieren Sie sofort alle Geräte, die Sie besitzen und die in der wachsenden Liste der betroffenen Hersteller des CERT aufgeführt sind.
- Stellen Sie sicher, dass alle Netzwerkgeräte über aktuelle Software verfügen.
- Die Verwaltungsschnittstellen des Routers dürfen nicht ins Internet gestellt werden.
- Überwachen Sie Ihre Infrastruktur fortlaufend manuell mit Censys Searchoder automatisch mit Censys ASM, um ungewollt exponierte Ports und Dienste zu identifizieren.
Referenzen
