500.000 befallene Router? – VPNFilter-Malware ist noch viel schlimmer!

Wer die VPNFilter-Malware schon aufgrund von rund 500.000 infizierten Routern in weit über 50 Ländern als schlimm empfand, dürfte bald noch mehr ins Grübel geraten. Denn neue Analysen ergaben, dass der Schädling noch weitaus gefährlicher ist, als aufgrund der bisherigen Attacken anzunehmen war.

Die Sicherheitsforscher von Cisco Talos haben die Malware tiefergehend untersucht und unter anderem herausgefunden, dass weitaus mehr Systeme befallen werden können als angenommen. Aufgrund der Ausbreitung hatte man Router von Linksys, MikroTik, Netgear, TP-Link und QNAP als gefährdet eingestuft. Es zeigt sich nun aber, dass auch Modelle von ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE befallen werden können. Im ersten Bericht zu der Malware war insgesamt noch von 16 anfälligen Systemen die Rede, inzwischen ist die Zahl auf 71 gestiegen.

Nicht besser wird die Sache dadurch, dass die Malware im Grunde aus mehreren Stufen besteht. Kürzlich dachte man noch, mit der erfolgreichen Übernahme des Kontrollservers und Neustarts der Router, mit denen der dateilose Schädling aus dem Speicher verschwindet, sei die Sache getan. Dem ist aber keinesfalls so und es kann eigentlich jederzeit wieder losgehen.

Denn VPNFilter ist modular aufgebaut. Die Infektions-Routinen stellen dabei eine Stufe dar, eine weitere dient mit verschiedenen anflanschbaren Exploits als Türöffner. Der dritte Teil ist dann die eigentliche Payload mit Schadroutinen, die unterschiedlich bestückt werden können. Das ist ein Zeichen dafür, dass VPNFilter auf dem Schwarzmarkt verkauft und von verschiedenen Betreibern mit immer unterschiedlichen Zwecken, Kontrollservern und Exploits eingesetzt werden kann.

Daher kann man damit rechnen, dass VPNFilter in der nächsten Zeit immer wieder Botnetze für verschiedene Aufgaben und Dienstherren aufbaut. Daher wäre es für die kommende Zeit noch weitaus wichtiger, die zahlreichen Homerouter möglichst immer zeitnah mit Firmware-Updates auszustatten – was in der Praxis allerdings nur sehr selten geschieht.

Nach neuestem Stand sieht die Liste anfälliger Systeme nun so aus:

Asus:
RT-AC66U (neu)
RT-N10 (neu)
RT-N10E (neu)
RT-N10U (neu)
RT-N56U (neu)
RT-N66U (neu)

D-Link:
DES-1210-08P (neu)
DIR-300 (neu)
DIR-300A (neu)
DSR-250N (neu)
DSR-500N (neu)
DSR-1000 (neu)
DSR-1000N (neu)

Huawei:
HG8245 (neu)

Linksys:
E1200
E2500
E3000 (neu)
E3200 (neu)
E4200 (neu)
RV082 (neu)
WRVS4400N

Mikrotik:
CCR1009 (neu)
CCR1016
CCR1036
CCR1072
CRS109 (neu)
CRS112 (neu)
CRS125 (neu)
RB411 (neu)
RB450 (neu)
RB750 (neu)
RB911 (neu)
RB921 (neu)
RB941 (neu)
RB951 (neu)
RB952 (neu)
RB960 (neu)
RB962 (neu)
RB1100 (neu)
RB1200 (neu)
RB2011 (neu)
RB3011 (neu)
RB Groove (neu)
RB Omnitik (neu)
STX5 (neu)

Netgear:
DG834 (neu)
DGN1000 (neu)
DGN2200
DGN3500 (neu)
FVS318N (neu)
MBRN3000 (neu)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (neu)
WNR4000 (neu)
WNDR3700 (neu)
WNDR4000 (neu)
WNDR4300 (neu)
WNDR4300-TN (neu)
UTM50 (neu)

QNAP:
TS251
TS439 Pro
Andere mit QTS-Firmware betriebene NAS

TP-Link:
R600VPN
TL-WR741ND (neu)
TL-WR841N (neu)

Ubiquiti:
NSM2 (neu)
PBE M5 (neu)

UPVEL:
Diverse Modelle (neu)

ZTE:
ZXHN H108N (neu)

2018-06-07T09:42:50+00:00