Hacker nutzen neuen Auth-Bypass-Bug aus, der Millionen von Arcadyan-Routern betrifft

  • Unbekannte Bedrohungsakteure nutzen eine kritische Authentifizierungsumgehungsschwachstelle aktiv aus, um Heimrouter zu kapern und sie in ein Mirai-Botnetz einzubinden, das für die Durchführung von DDoS-Angriffen verwendet wird – und das nur zwei Tage nach ihrer Veröffentlichung.

    Die als CVE-2021-20090 (CVSS-Score: 9.9) geführte Schwachstelle betrifft eine Path-Traversal-Schwachstelle in den Web-Schnittstellen von Routern mit Arcadyan-Firmware, die es nicht authentifizierten Angreifern ermöglichen könnte, die Authentifizierung zu umgehen.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    Das von Tenable am 3. August veröffentlichte Problem besteht vermutlich seit mindestens 10 Jahren und betrifft mindestens 20 Modelle von 17 verschiedenen Anbietern, darunter Asus, Beeline, British Telecom, Buffalo, Deutsche Telekom, Orange, Telstra, Telus, Verizon und Vodafone.

    Eine erfolgreiche Ausnutzung der Sicherheitslücke könnte es einem Angreifer ermöglichen, Authentifizierungsbarrieren zu umgehen und möglicherweise Zugang zu sensiblen Informationen zu erlangen, einschließlich gültiger Anfrage-Tokens, die für Anfragen zur Änderung von Router-Einstellungen verwendet werden könnten.

    [Blocked Image: https://thehackernews.com/images/-VpbYTZFqKSM/YRJGcZG2KXI/AAAAAAAADfI/G8Fi_k66FRwXnFO9vKQUXyFTF5Cy0lfJwCLcBGAsYHQ/s0/router.jpg]

    Juniper Threat Labs sagte letzte Woche, dass es “einige Angriffsmuster identifiziert hat, die versuchen, diese Schwachstelle in freier Wildbahn auszunutzen, und die von einer IP-Adresse in Wuhan, Provinz Hubei, China, stammen”, beginnend am 5. August, wobei der Angreifer die Schwachstelle ausnutzt, um eine Mirai-Variante auf den betroffenen Routern zu installieren, was ähnliche Techniken widerspiegelt, die von Palo Alto Networks’ Unit 42 Anfang März aufgedeckt wurden.

    “Die Ähnlichkeit könnte darauf hindeuten, dass derselbe Bedrohungsakteur hinter diesem neuen Angriff steckt und versucht, sein Infiltrationsarsenal mit einer weiteren, erst kürzlich aufgedeckten Schwachstelle aufzurüsten”, so die Forscher.

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Neben CVE-2021-20090 führte der Bedrohungsakteur Angriffe durch, die eine Reihe anderer Schwachstellen ausnutzten, wie z. B. –

    • CVE-2020-29557 (Remotecodeausführung vor der Authentifizierung in D-Link DIR-825 R1 Geräten)
    • CVE-2021-1497 und CVE-2021-1498 (Schwachstellen durch Befehlsinjektion in Cisco HyperFlex HX)
    • CVE-2021-31755 (Stapelpufferüberlauf-Schwachstelle in Tenda AC11, die zur Ausführung von beliebigem Code führt)
    • CVE-2021-22502 (Fehler bei der Ausführung von entferntem Code in Micro Focus Operation Bridge Reporter)
    • CVE-2021-22506 (Sicherheitslücke durch Informationslecks in Micro Focus Access Manager)

    Der Bericht von Unit 42 hatte zuvor nicht weniger als sechs bekannte und drei unbekannte Sicherheitslücken aufgedeckt, die bei den Angriffen ausgenutzt wurden. Dazu zählten die Schwachstellen in SonicWall SSL-VPNs, D-Link DNS-320 Firewalls, Netis WF2419 Wireless-Routern und Netgear ProSAFE Plus Switches.

    Um eine mögliche Kompromittierung zu vermeiden, wird den Benutzern empfohlen, ihre Router-Firmware auf die neueste Version zu aktualisieren.

    “Es ist klar, dass Bedrohungsakteure ein Auge auf alle veröffentlichten Schwachstellen haben. Wenn ein Exploit-PoC veröffentlicht wird, brauchen sie oft nur sehr wenig Zeit, um ihn in ihre Plattform zu integrieren und Angriffe zu starten”, so die Forscher.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com