Wer einen Router von D-Link besitzt, sollte aus Sicherheitsgründen dafür sorgen, dass die Firmware auf dem aktuellen Stand ist. Geschieht dies nicht, könnten Angreifer an Schwachstellen in der Software ansetzen und im schlimmsten Fall die volle Kontrolle über Geräte erlangen.
Bei den aktuellen Schwachstellen (CVE-2022-26258, CVE-2022-28958) soll das aufgrund von unzureichenden Überprüfungen durch bestimmte HTTP-Anfragen der Fall sein. Sind Attacken erfolgreich, sollen die Angreifer die Geräte ins MooBot-Botnetz eingliedern. Im Anschluss werden die Router für DDoS-Attacken missbraucht.
In ihrem Beitrag listen die Forscher Anzeichen (Indicator of Compromise) auf, an denen erkennbar ist, ob Angreifer bereits aktiv auf einem Router sind oder waren.
Quelle: heise
Gefährliche Schwachstellen
Sicherheitsforscher von Unit 42 (Palo Alto Networks) warnen davor, dass Angreifer insgesamt vier Sicherheitslücken aus den Jahren 2015, 2018 und 2022 ausnutzen, um Geräte zu attackieren. Die Lücken sind als "kritisch" eingestuft. Sind Attacken erfolgreich, soll die Ausführung von Schadcode möglich sein, was zur vollständigen Kompromittierung der Router führt.Bei den aktuellen Schwachstellen (CVE-2022-26258, CVE-2022-28958) soll das aufgrund von unzureichenden Überprüfungen durch bestimmte HTTP-Anfragen der Fall sein. Sind Attacken erfolgreich, sollen die Angreifer die Geräte ins MooBot-Botnetz eingliedern. Im Anschluss werden die Router für DDoS-Attacken missbraucht.
Updaten oder entsorgen
Die Sicherheitsforscher geben an, dass es mittlerweile Patches gib, die die Lücken schließen. In ihrem Beitrag nennen sie aber keine konkreten Versionen. Im Sicherheitsbereich der D-Link-Website findet man keine Informationen zu den Schwachstellen. Auch welche Modelle betroffen sind, ist bislang nicht bekannt. Demzufolge sollte Besitzer von D-Link-Routern die Firmware auf Aktualität prüfen. Ältere Geräte, die sich nicht mehr im Support befinden, sollten nicht mehr eingesetzt werden.In ihrem Beitrag listen die Forscher Anzeichen (Indicator of Compromise) auf, an denen erkennbar ist, ob Angreifer bereits aktiv auf einem Router sind oder waren.
Quelle: heise