Malware „SYNful Knock“ nutzt kritische Lücke in Cisco-Routern aus

Eine schon länger bekannte Sicherheitslücke in einigen Cisco-Routern wird jetzt aktiv von der Malware „SYNful Knock“ ausgenutzt, wie der Sicherheitsanbieter FireEye warnt. Cisco hatte schon Mitte August auf die Schwachstelle hingewiesen. Angreifer können sie dafür nutzen, die Firmware der betroffenen Geräte auszutauschen und so uneingeschränkten Zugriff auf das Netzwerk zu erlangen. Auf den drei Routermodellen 1841, 2811 und 3825 konnte FireEye inzwischen modifizierte Betriebssystem-Images nachweisen. Es sei aber nicht auszuschließen, dass noch weitere betroffen sind.

In allen Cisco bislang bekannten Fällen nutzten die Angreifer gültige Anmeldedaten von Administratoren und spielten dann die falsche Software über den ROMMON-Upgrade-Prozess ein. Betroffene müssen sich also auch fragen lassen, wie die Angreifer in den Besitz der Anmeldedaten kamen oder ob entgegen allen Empfehlungen Default-Einstellungen weiterverwendet wurden.

Durch den Austausch der Router-Firmware erhalten Angreifer umfassenden Zugriff auf das Netzwerk. Den üben sie laut Cisco über eine Passwort-geschützte Backdoor aus.

Angriffe auf Firmware wurden bislang als eher theoretisch mögliches Szenario eingestuft. Die praktische Umsetzung eines Exploits galt als eher unwahrscheinlich. Laut FireEye hat die hauseigene Beratungsabteilung Mandiant nun aber mindestens 14 Router mit dem modifizierten Betriebssystem entdeckt. Die Router seien in der Ukraine, den Philippinen, Mexiko und Indien angegriffen worden. Es sei sehr wahrscheinlich, dass noch weitere Router betroffen sind, die bislang lediglich noch nicht entdeckt wurden.

Dies sei aufgrund der Kommunikationsstruktur relativ schwierig heißt es im FireEye-Advisory: „Es kann schwierig sein, eine Backdoor zu entdecken, da häufig nicht-standardisierte Pakete als eine Art Pseudo-Authentifizierung verwendet werden. Selbst das Aufspüren einer Backdoor im eigenen Netzwerk kann eine Herausforderung sein, für ein Router-Implantat gilt das umso mehr.“ Allerdings seien die Folgen einer solchen Entdeckung schwerwiegend und es sei dann sehr wahrscheinlich, dass auch weitere Malware oder kompromittierte Systeme vorhanden sind.

Die Malware SYNful Knock lasse sich anpassen und könne aus der Ferne aktualisiert werden, so die Sicherheitsexperten weiter. Weil er als Firmware auf dem Router gespeichert ist, bleibt der Schädling auch nach einem Neustart aktiv. Weitere modifizierte Module sind laut FireEye im flüchtigen Speicher der Geräte abgelegt und lassen sich mit einem Hard Reset löschen. Ob es weitere Module gibt, lässt sich jedoch nur durch einen Core-Dump des Router-Images herausfinden.

[mit Material von Martin Schindler, silicon.de]