HARDWARE
Speichern

MEHR ALS 9000 ASUS-ROUTER WURDEN GEHACKT UND MIT BOTNETZEN VERSEHEN

Für die betroffenen Router wurde bereits ein Firmware-Update bereitgestellt, dessen Installation jedoch nicht ausreicht, um die offene Hintertür zu schließen - es sind einige zusätzliche Schritte erforderlich.
J.o.k.e.r
J.o.k.e.r
31. Mai 2025, 04:03
Mehr als 9000 ASUS-Router wurden gehackt und mit Botnetzen versehen
PC components

Nach Angaben der Sicherheitsexperten von GreyNoise wurden Tausende von ASUS-Routern von Cyberkriminellen mit einem Botnet versehen, die sich erfolgreich in das System des Routers hackten und dann großes Geschick beim Botneting der Router bewiesen, so dass sie ununterbrochenen Zugriff auf die Geräte hatten und der Benutzer nichts davon mitbekam, was im Hintergrund geschah.

Den Forschern zufolge könnten mehr als 9.000 ASUS-Router von dem Angriff betroffen sein, der im März 2025 entdeckt wurde und für den das ASUS-Team Firmware-Updates vorbereitet hat, um die Schwachstellen zu beheben, die den Erfolg des Angriffs ermöglichten. Interessanterweise öffneten die Cyberkriminellen eine Hintertür auf den Routern, ohne Malware zu verwenden, sondern nutzten bekannte Schwachstellen aus und gestalteten die Hintertür so, dass diese nicht durch einen Neustart des Routers oder ein Firmware-Update geschlossen werden konnte. Leider haben die Forscher nicht genau angegeben, welche Modelle betroffen sind, aber es ist sicher, dass der ASUS RT-AX55 eines davon sein könnte, da sich der CVE-Eintrag unten auf eine Sicherheitslücke in diesem Produkt bezieht. Um dennoch auf der sicheren Seite zu sein, lohnt es sich, die am Ende dieses Artikels beschriebenen Schritte für andere ASUS-Router-Modelle zu befolgen.

Die Angreifer versuchten zunächst, die Anmeldedaten des Routers mit einem Brute-Force-Angriff zu entschlüsseln, und setzten außerdem einige Techniken zur Umgehung der Benutzerauthentifizierung ein, die nicht offiziell dokumentiert sind oder, genauer gesagt, keinen veröffentlichten CVE-Eintrag haben. Sobald diese in den Router eingedrungen waren, nutzten sie eine Schwachstelle unter CVE-2023-39780 aus, die Code-Injektion ermöglicht, und waren in der Lage, systemweite Änderungsbefehle zu erteilen, um die Konfigurationseinstellungen des Routers unter Verwendung der werkseitigen Standardfunktionen und -einstellungen zu ändern.

Galerie öffnen

Die Angreifer nutzten offizielle Asus-Router-Dienste, um kontinuierlichen Zugriff auf den Router zu erhalten. Sie erlaubten SSH-Verbindungen über einen nicht standardisierten Port, in diesem Fall den TCP-Port 53282, und installierten dann ihren eigenen öffentlichen SSH-Schlüssel, der eine administrative Fernsteuerung ermöglichte. Da diese Einstellungen im NVRAM des Routers, einem nichtflüchtigen Speicher, gespeichert wurden, konnte die Hintertür bei einem Neustart des Systems nicht zurückgesetzt werden, und auch ein Firmware-Update kann sie nicht schließen. Dabei deaktivierten die Angreifer auch die Protokollierungsfunktion des Systems und eine Sicherheitsfunktion namens AiProtection, um ihre Aktivitäten vor den Augen der Benutzer zu verbergen.

Der Angriff scheint sorgfältig geplant und darauf ausgelegt worden zu sein, einen langfristigen Zugang zu den gehackten Routern zu gewährleisten. Insgesamt wurden mehr als 9.000 Router gehackt und mit einem Backdoor versehen, wie aus den Daten von Censys hervorgeht. Diese Daten zeigen, welche Router für das Internet offen sind, während die Daten von GreyNoise zeigen, welche Geräte aktiv ins Visier genommen und von den Angreifern für verschiedene Aufgaben genutzt werden. GreyNoise verwendet ein KI-gestütztes Analysetool namens "Sift", das auch ergab, dass in den letzten drei Monaten nur 30 verdächtige Anfragen für betroffene Router eingegangen sind, während Tausende von Routern den Angreifern zum Opfer gefallen sind.

Das ASUS-Team hat natürlich die notwendigen Firmware-Updates für die potenziell betroffenen Router veröffentlicht und damit die in CVE-2023-39870 beschriebene "Lücke" sowie die undokumentierten Schwachstellen geschlossen, die Angreifern den erfolgreichen Zugriff auf die Web-Benutzeroberfläche des Routers ermöglichten.

Um sicherzustellen, dass Besitzer von ASUS-Routern sicher sind, sollten sie ein paar Schritte unternehmen. Zunächst sollten sie überprüfen, ob eine aktive Backdoor auf dem Router vorhanden ist, d. h. ob der TCP-Port 53282 für SSH-Verbindungen zugänglich ist, und auch die SSH-Schlüssel auf verdächtige Instanzen überprüfen und dann bekannte bösartige IP-Adressen im Zusammenhang mit dieser Kampagne blockieren.

Besteht der Verdacht, dass das Gerät kompromittiert wurde, besteht die einzige Möglichkeit, die offene Hintertür zu entfernen, darin, das Gerät auf die Werkseinstellungen zurückzusetzen, was leider eine Neukonfiguration des Routers erfordert. Und natürlich sollte man nicht vergessen, die neueste verfügbare Firmware zu installieren. Im Verdachtsfall kann es sich lohnen, die Datei vorab herunterzuladen, den Router auf die Werkseinstellungen zurückzusetzen, dann das Update ohne Internetverbindung durchzuführen und den Router anschließend neu zu konfigurieren, auch durch Laden einer zuvor gespeicherten Konfigurationsdatei.

Teste

    Diesbezügliche Artikel

    Zurück zum Seitenanfang
    Unsere Website verwendet Cookies, um das Nutzererlebnis zu verbessern. Durch die weitere Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Datensicherheitsinformationen Allgemeine Geschäftsbedingungen Impressum