Meldung

Angriffe auf Zyxel-NAS-Geräte

Unit 42, die Forschungsabteilung von Palo Alto Networks, warnt vor einer neuen Variante der IoT-Malware Mirai, namens Mukashi. Sobald der Proof-of-Concept für CVE-2020-9054 im vergangenen Monat öffentlich zugänglich gemacht wurde, haben Cyberangreifer diese Schwachstelle umgehend ausgenutzt, um anfällige Versionen von NAS-Geräten von Zyxel zu infizieren.
Mukashi ist ein Bot, der den TCP-Port 23 von zufälligen Hosts scannt, Anmeldungen mit verschiedenen Kombinationen von Standard-Zugangsdaten erzwingt und den erfolgreichen Anmeldeversuch an seinen C2-Server (Command and Control) meldet. Wie andere Mirai-Varianten ist auch Mukashi in der Lage, C2-Befehle zu empfangen und DDoS-Angriffe zu starten.

Mehrere, wenn nicht sogar alle NAS-Produkte von Zyxel mit Firmware-Versionen bis 5.21 sind anfällig für diese Schwachstelle der Kategorie "Pre-Authentication Command Injection". Der Warnhinweis des Herstellers ist bereits verfügbar [1]. Benutzer können zudem hier püfen, ob ihr NAS-Gerät anfällig ist. Die Schwachstelle ist als kritisch eingestuft worden, da sie einfach auszunutzen ist. Es ist nicht überraschend, dass die Akteure diese Schwachstelle ins Visier nehmen, um im IoT-Bereich Schaden anzurichten. Sie wurde zunächst durch den Verkauf des Exploit-Codes als Zero-Day-Version entdeckt.

Der erste Vorfall geschah am 12. März 2020 um 19:07 Uhr (UTC) und wurde von der Next-Generation-Firewall von Palo Alto Networks [2] erfasst. Der Bedrohungsakteur versuchte, ein Shell-Skript in das tmp-Verzeichnis herunterzuladen, das Skript auszuführen und die Evidenz auf einem anfälligen Gerät zu entfernen. Nach der Ausführung werden verschiedene Architekturen des Mirai-Bots heruntergeladen, die Binärdateien ausgeführt und entfernt. Wenn die Ausführung der Malware erfolgt, gibt Mukashi die Meldung "Protecting your device from further infections" an die Konsole aus. Die Malware ändert dann ihren Prozessnamen in dvrhelper, was darauf hindeutet, dass Mukashi bestimmte Eigenschaften von seinem Vorgänger geerbt haben könnte.

Palo Alto Networks empfiehlt dringend eine Aktualisierung der Firmware, um die Angreifer in Schach zu halten. Die neueste Version der Firmware des Herstellers steht zum Download (siehe oben) zur Verfügung. Ebenso empfehlen die Sicherheitsexperten generell die Nutzung komplexer Paswörter, um Brute-Force-Angriffe zu verhindern.
23.03.2020/dr

Tipps & Tools

Arbeiten im Home Office [30.03.2020]

Aufgrund der aktuellen Situation empfehlen Unternehmen ihren Mitarbeitern, von Zuhause zu arbeiten. Damit auch Sie in dieser Zeit gut zurechtkommen, finden Sie auf unserer Webseite einen neuen Home-Office-Bereich mit vielen Informationen und Tools rund um das Thema. Zudem möchten wir Sie wöchentlich mit einem besonderen Fachartikel bei der Arbeit unterstützen. Diese Woche zeigen wir, wie Sie bei der Nutzung privater Endgeräte und neuer Werkzeuge für die Zusammenarbeit Sicherheitsrisiken reduzieren können. [mehr]

Cyberkriminelle nehmen IoT-Geräte ins Visier [17.03.2020]

Der neueste Report von FortiGuard Labs gibt Aufschluss über die weltweiten Sicherheitsbedrohungen aus dem 4. Quartal 2019. Der Bericht beinhaltet drei zentrale Aspekte: Exploits, Malware und Botnets. Die Ergebnisse zeigen, dass Cyberkriminelle zunehmend IoT-Geräte ins Auge fassen und auch ältere Sicherheitslücken weiterhin ausnutzen. [mehr]

Fachartikel

Marktüberblick Open-Source-Passwortmanager [2.03.2020]

Mit jedem genutzten Webservice steigt die Zahl der Zugangsdaten. Es soll zwar immer noch Anwender geben, die für alle Dienste identische Benutzernamen-Passwort-Kombinationen verwenden, doch allein schon aus Sicherheitsgründen ist ein Passwortmanager das Werkzeug der Wahl. Es übernimmt die Aufgabe, die Passwörter sicher zu verwahren und bei Bedarf herauszurücken. Wir haben uns für diese Marktübersicht quelloffene Werkzeugen angesehen. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen