/RouteX: Netgear-Router für Brute-Force-Angriffe missbraucht

RouteX: Netgear-Router für Brute-Force-Angriffe missbraucht

RouteX: Netgear-Router für Brute-Force-Angriffe missbraucht


Dennis Schirrmacher

(Bild: Katy Levinson, CC BY 2.0 )

Ein Hacker kapert Netgear-Router der Serie WNR2000 über eine seit Ende vergangenen Jahres bekannte Lücke, warnen Sicherheitsforscher. Zeit, das Sicherheitsupdate zu installieren.

Ein unbekannter Hacker soll es in den vergangenen Monaten gezielt auf WNR2000-Router von Netgear abgesehen haben und diese aus der Ferne übernehmen. Anschließend soll er sie für Brute-Force-Angriffe zweckentfremden, um in Netzwerke von diversen umsatzstarken Unternehmen aus der Fortune-Global-500-Liste eindringen zu können. Das schildern Sicherheitsforscher von Forkbombus Labs in einem Bericht.

Als Einfallstor soll der Angreifer eine im Dezember vergangenen Jahres entdeckte Sicherheitslücke im Webserver (CVE-2016-10176) ausgenutzt haben. In dieser Position kann man ohne Authentifizierung gewisse Aktionen mit Admin-Rechten ausführen. Wer Router der Serie WNR2000 einsetzt, sollte sicherstellen, dass eine abgesicherte Firmware installiert ist.

Einmal eingedrungen, soll der Hacker eine Malware namens RouteX installiert haben. Diese bringt unter anderem einen SOCKS-Proxy und das Programm iptabels mit. So kann der Angreifer etwa den Zugriff auf das Gerät auf bestimmte IP-Adressen eingrenzen , um es unter seiner Kontrolle zu halten, erläutern die Sicherheitsforscher.

Größe des Botnetzes bislang unbekannt

Anschließend soll er so genannte Credential-Stuffing-Attacken ausgeübt haben, um Log-in-Daten von Firmennetzwerken in schneller Abfolge via Brute-Force-Ansatz zu knacken. In einigen, nicht näher ausgeführten Fällen war das erfolgreich, teilt Forkbombus Labs mit.

Als Grundlage soll er auf Benutzernamen und Passwörtern aus verschiedenen Datenleaks gesetzt haben. Die Proxys sollen unter anderem diversen Mechanismen gegen Brute-Force-Attacken entgegengewirkt haben. Wie groß das Botnetz aus gekaperten WNR2000-Routern ist, ist derzeit nicht bekannt.


(des)