Auth Bypass Bug wird ausgenutzt und betrifft Millionen von Routern

  • Nur drei Tage nach der Enthüllung kapern Cyberangreifer Heimrouter von 20 Anbietern & ISPs, um sie einem Mirai-Varianten-Botnetz hinzuzufügen, das für die Durchführung von DDoS-Angriffen verwendet wird.

    Eine Sicherheitslücke zur Umgehung der Authentifizierung, die mehrere Router und Internet-of-Things (IoT)-Geräte betrifft, wird nach Angaben von Forschern aktiv ausgenutzt.

    Die Sicherheitslücke, die unter der Bezeichnung CVE-2021-20090 geführt wird, wurde letzte Woche von Forschern bei Tenable entdeckt. Sie betrifft Geräte von 20 verschiedenen Anbietern und ISPs (ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentina], TelMex, Telstra, Telus, Verizon und Vodafone), die alle die gleiche Firmware von Arcadyan verwenden. Insgesamt könnten Millionen von Geräten weltweit anfällig sein.

    Tenable hat in einem Proof of Concept (PoC) gezeigt, dass es möglich ist, die Konfiguration eines Geräts zu ändern, um Telnet auf einem anfälligen Router zu aktivieren und Shell-Zugriff auf Root-Ebene auf dem Gerät zu erhalten.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

    “Die Schwachstelle besteht aufgrund einer Liste von Ordnern, die unter eine ‘Bypass-Liste’ für die Authentifizierung fallen”, heißt es in einem Advisory von Tenable vom 3. August: “Für die meisten der aufgelisteten Geräte bedeutet dies, dass die Schwachstelle über mehrere Pfade ausgelöst werden kann. Bei einem Gerät, bei dem http://<ip>/index.htm eine Authentifizierung erfordert, könnte ein Angreifer über die folgenden Pfade auf index.htm zugreifen:

    • http://<ip>/images/..%2findex.htm
    • http://<ip>/js/..%2findex.htm
    • http://<ip>/css/..%2findex.htm

    “Damit die Seiten ordnungsgemäß geladen werden, müssen Proxy-Match/Replace-Einstellungen verwendet werden, um sicherzustellen, dass alle geladenen Ressourcen, die eine Authentifizierung erfordern, auch den Pfad-Traversal nutzen”, heißt es in der Mitteilung weiter.

    Ausgenutzt, um Mirai-Variante zu verbreiten

    Nur drei Tage nach der Veröffentlichung, am Freitag, gaben Cybersecurity-Forscher von Juniper Networks bekannt, dass sie eine aktive Ausnutzung des Fehlers entdeckt haben.

    “Wir haben einige Angriffsmuster identifiziert, die versuchen, diese Schwachstelle in freier Wildbahn auszunutzen, und die von einer IP-Adresse in Wuhan, Provinz Hubei, China, ausgehen”, schreiben sie in einem Posting. “Der Angreifer scheint zu versuchen, eine Mirai-Variante auf den betroffenen Routern einzusetzen.”

    In der Nähe des PoC von Tenable modifizieren die Angreifer die Konfiguration des angegriffenen Geräts, um Telnet mit “ARC_SYS_TelnetdEnable=1” zu aktivieren und die Kontrolle zu übernehmen, so Juniper. Anschließend laden sie die Mirai-Variante von einem Command-and-Control-Server (C2) herunter und führen sie aus.

    Mirai ist ein seit langem laufendes Botnet, das angeschlossene Geräte infiziert und für verteilte Denial-of-Service-Angriffe (DDoS) genutzt werden kann. Es trat 2016 auf den Plan, als es die Server des Webhosting-Unternehmens Dyn überlastete und mehr als 1.200 Websites, darunter Netflix und Twitter, lahmlegte. Sein Quellcode wurde später im selben Jahr veröffentlicht, woraufhin mehrere Mirai-Varianten auftauchten, die bis heute nicht verschwunden sind.

    Laut Juniper ähneln einige der Skripte in der aktuellen Angriffsserie den zuvor beobachteten Aktivitäten, die im Februar und März auftraten.

    “Die Ähnlichkeit könnte darauf hindeuten, dass derselbe Bedrohungsakteur hinter diesem neuen Angriff steckt und versucht, sein Infiltrationsarsenal mit einer weiteren, gerade erst bekannt gewordenen Sicherheitslücke aufzurüsten”, schreiben die Forscher. “In Anbetracht der Tatsache, dass die meisten Menschen sich des Sicherheitsrisikos nicht einmal bewusst sind und ihr Gerät in nächster Zeit nicht aufrüsten werden, kann diese Angriffstaktik sehr erfolgreich, billig und einfach durchzuführen sein.”

    Neben dem Router-Bug beobachteten die Juniper-Forscher, dass die folgenden bekannten Schwachstellen ausgenutzt werden, um einen ersten Zugang zu den Zielgeräten zu erhalten:

    • CVE-2020-29557 (DLink-Router)
    • CVE-2021-1497 und CVE-2021-1498 (Cisco HyperFlex)
    • CVE-2021-31755 (Tenda AC11)
    • CVE-2021-22502 (MicroFocus OBR)
    • CVE-2021-22506 (MicroFocus AM)

    Tatsächlich haben die Angreifer dem Posting zufolge kontinuierlich neue Exploits in ihr Arsenal aufgenommen, und CVE-2021-20090 wird wahrscheinlich nicht die letzte sein.

    “Es ist klar, dass Bedrohungsakteure ein Auge auf alle veröffentlichten Schwachstellen haben”, so die Forscher. “Wann immer ein Exploit-PoC veröffentlicht wird, brauchen sie oft nur wenig Zeit, um ihn in ihre Plattform zu integrieren und Angriffe zu starten.”

    Um eine Kompromittierung zu vermeiden, sollten Benutzer ihre Firmware auf dem Router aktualisieren.

    “Im Falle von IoT-Geräten oder Home-Gateways ist die Situation noch viel schlimmer, da die meisten Benutzer nicht technisch versiert sind und selbst diejenigen, die es sind, nicht über potenzielle Schwachstellen und die zu verwendenden Patches informiert werden”, so Juniper. “Der einzige sichere Weg, dieses Problem zu beheben, besteht darin, von den Anbietern zu verlangen, dass sie automatische Updates zum Nulltarif anbieten.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” an, das in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST stattfindet, und finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com