DrayTek -Router & Cyberangriffe: Weltweit Hunderttausende von Geräten betroffen
Forescout Technologies veröffentlichte am 2. Oktober seinen „DRAY:BREAK“ Forschungsbericht. Der Bericht identifiziert 14 bisher unbekannte Schwachstellen in Routern des taiwanesischen Netzwerkausrüsters DrayTek, darunter eine mit dem höchstmöglichen Schweregrad von 10.
Wenn diese Schwachstellen nicht behoben werden, könnten Angreifer die volle Kontrolle über diese Geräte erlangen und damit Ransomware, Denial-of-Service-Angriffen und anderen Angriffen Tür und Tor öffnen. Angesichts der Tatsache, dass Router immer häufiger ins Visier von Angreifern geraten, zeigt diese Untersuchung, dass sofortige Maßnahmen erforderlich sind, wie die Installation von Patches und die Deaktivierung unnötiger Fernzugriffe, um Netzwerkgeräte vor den zunehmenden Cyber-Bedrohungen zu schützen.
DrayTek –Router – in vielen Branchen weit verbreitet
DrayTek -Router sind in vielen Branchen weit verbreitet, und diese breite Nutzung hat sie zu einem Hauptziel für Cyberkriminelle gemacht. Zusätzlich zu den Untersuchungen von Forescout wurden DrayTek -Router in einer kürzlich durchgeführten FBI-Aktion markiert, und die CISA nahm DrayTek-Schwachstellen in die Liste der „Known Exploited Vulnerabilities“ (KEV) auf.
„Router sind entscheidend dafür, dass interne Systeme mit der Außenwelt verbunden sind, doch zu viele Unternehmen übersehen ihre Sicherheit, bis sie von Angreifern ausgenutzt werden“, sagt Barry Mainz, CEO von Forescout. „Cyberkriminelle arbeiten rund um die Uhr daran, Schwachstellen in der Routerabwehr zu finden und sie als Einstiegspunkte zu nutzen, um Daten zu stehlen oder den Geschäftsbetrieb lahmzulegen. Die Forescout-Studie von DrayTek ist nur das jüngste Beispiel dafür, dass Router nach wie vor die risikoreichste Gerätekategorie für alle Assets sind.“
„DRAY:BREAK“ – wichtigste Ergebnisse des Berichts
- 14 Schwachstellen in DrayTek-Routern wurden identifiziert: Die Schwachstelle mit dem höchsten Schweregrad wurde mit einem CVSS-Score von 10 bewertet, eine weitere mit 9,1. Diese hochriskanten Schwachstellen können Angreifern die Möglichkeit geben, Remote-Code-Ausführung und OS-Befehlsinjektionsangriffe durchzuführen. Weitere technische Details sind im vollständigen Bericht enthalten.
- Weltweite Verbreitung: Über 704.000 DrayTek-Router sind derzeit im Internet exponiert. Mehr als 425.000 befinden sich in Großbritannien und der EU und über 190.000 in Asien. Eine vollständige regionale Aufschlüsselung der Gefährdung ist im Bericht enthalten. Die Mehrheit der Router ist für den geschäftlichen Einsatz bestimmt – 75 Prozent werden kommerziell genutzt. Fast 40 Prozent der DrayTek-Router sind immer noch anfällig für ähnliche Probleme, die vor zwei Jahren festgestellt und in den KEV-Katalog der CISA aufgenommen wurden.
- End-of-Life-Geräte gefährdet: Die gefundenen Schwachstellen betreffen 24 DrayTek-Router-Modelle, von denen 11 am Ende ihres Lebenszyklus stehen (EoL). Mehr als zwei Drittel (63 Prozent) der gefährdeten Geräte sind entweder End-of-Sale (EoS) oder EoL, was es schwieriger macht, sie zu patchen und zu schützen.
Mögliche Angriffsszenarien
Die Schwachstellen von DrayTek eröffnen viele potenzielle Angriffswege für Router, insbesondere für solche, deren Web-Management-Schnittstelle im Internet exponiert ist. Angreifer können ein persistentes Rootkit einsetzen, um den Netzwerkverkehr abzufangen und zu analysieren und sensible Daten wie Zugangsdaten oder vertrauliche Informationen zu stehlen. Wenn sie einmal eingedrungen sind, können sie sich seitlich im Netzwerk bewegen, andere Geräte kompromittieren und möglicherweise zu Ransomware, Denial-of-Service-Angriffen (DoS) oder der Erstellung von Botnets für verteilte Angriffe führen. Leistungsstarke Router wie der Vigor3910 könnten sogar als Command-and-Control (C2)-Server umfunktioniert werden und Angreifern ermöglichen, weitere Angriffe auf andere Opfer zu starten.
Als Teil des verantwortungsvollen Offenlegungsprozesses hat DrayTek alle von Vedere Labs aufgedeckten Schwachstellen in der Firmware gepatcht. Unternehmen müssen jedoch weiterhin Maßnahmen ergreifen, um diese Produkte in ihren Netzwerken zu schützen.
„Um sich vor diesen Schwachstellen zu schützen, müssen Unternehmen betroffene DrayTek-Geräte sofort mit der neuesten Firmware patchen. Die Deaktivierung unnötiger Fernzugriffe, die Implementierung von Zugriffskontrolllisten und Zwei-Faktor-Authentifizierung sowie die Überwachung von Anomalien durch Syslog-Protokollierung sind allesamt entscheidende Schritte“, so Daniel dos Santos, Head of Security Research bei Forescout Research – Vedere Labs. „Die Segmentierung des Netzwerks ist ebenfalls wichtig, um potenzielle Sicherheitslücken einzudämmen, und veraltete Geräte sollten ersetzt werden. “
Um mehr über die Ergebnisse der DrayTek-Schwachstellen zu erfahren, einschließlich eines technischen Deep Dives und Strategien zur Schadensbegrenzung, hat Forescout den vollständigen Forschungsbericht, einen zusammenfassenden Blog und ein On-Demand-Webinar veröffentlicht.
