VPNFilter: FBI rät zu Neustarts für Router und NAS von Netgear, TP-Link, QNAP & Co.

  • Allgemein

  • HotPi
  • 524 Aufrufe 4 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • VPNFilter: FBI rät zu Neustarts für Router und NAS von Netgear, TP-Link, QNAP & Co.

    Botnetz
    VPNFilter: FBI rät zu Neustarts für Router und NAS von Netgear, TP-Link, QNAP & Co.
    Über 500.000 Router von u.a. Netgear und TP-Link sowie NAS-Geräte von QNAP wurden mit der Malware VPNFilter infiziert. Das FBI rät zu einem Neustart.

    Verlauf der vergangenen Woche hat die US-Sicherheitsfirma Talos mit VPNFilter eine Malware entdeckt, die es auf bestimmte Online-Geräte abgesehen hat. Der Schädling spannt diese nach einer Infizierung in ein Botnetz ein, das nach aktuellen Angaben weltweit über 500.000 Geräte umfassen soll.

    Betroffen sind WLAN-Router von Netgear, TP-Link, Linksys und Mikrotik sowie NAS-Geräte von QNAP. Nach einem Befall lassen sich beispielsweise sensible Daten stehlen, Geräte missbrauchen oder der Online-Traffic manipulieren. Um die Gefahr einzudämmen, empfiehlt das FBI, betroffene Geräte (siehe unten) neu zu starten.

    Schädlinge wie VPNFilter haben es speziell auf Sicherheitslücken in Internet-of-Things-Geräten abgesehen. Im Normallfall überleben derartige Eindringlinge einen Neustart der Geräte nicht. Allerdings bietet VPNFilter laut Talos bestimmte Funktionen, die nach einem Geräteneustart eine erneute Installation anstoßen können. Dafür kommuniziert die Malware mit einem Kontrollserver.

    Eine Online-Adresse für einen solchen Server hat das FBI unter seine Kontrolle bringen können – daher reicht an sich erst einmal ein Neustart. Abgesehen davon rät das FBI aber zusätzlich, Geräte aktuell zu halten, Fernwartungsoptionen im Router abzuschalten, sichere Passwörter zu verwenden und diese nach Möglichkeit zu verschlüsseln.

    VPNFilter: Diese Geräte sind betroffen

    Betroffen sind folgende WLAN-Router der genannten Hersteller. Am Ende folgen noch drei Netzwerkfestplatten von QNAP:

    Netgear:
    • DGN2200
    • R6400
    • R7000
    • R8000
    • WNR1000
    • WNR2000
    TP-Link:
    • R600VPN
    Linksys:
    • E1200
    • E2500
    • WRVS4400N
    Mikrotik:
    • 1016
    • 1036
    • 1072
    QNAP:
    • TS251
    • TS439 Pro
    • Andere Geräte mit QTS-Software


    28.5.2018 von The-Khoa Nguyen


    Quelle: VPNFilter: FBI rät zu Neustarts für Router und NAS von Netgear, TP-Link, QNAP & Co. - PC Magazin
  • Router-Schädling «VPNFilter» schlimmer als gedacht
    Sicherheitsexperten haben weitere verwundbare Router- und NAS-Geräte gefunden. Der Schädling hat zudem zerstörerische Fähigkeiten.
    von Gaby Salvisberg 07.06.2018

    Durch Cisco Talos wurde ein Router-Schädling entdeckt. Die Sicherheitsexperten traten im Mai an die Öffentlichkeit mit ersten Informationen (PCtipp berichtete). Nun haben die Forscher einige weitere Details zum Schädling zutage gefördert und mussten die Liste der verwundbaren Gerätetypen vergrössern. Inzwischen weiss man nicht nur von 500'000, sondern von 700'000 infizierten Einzelgeräten. Die meisten sind Netzwerk-Router; es sind aber auch ein paar NAS-Geräte betroffen.

    Was ist VPNFilter?

    Was wie der Name eines Sicherheits-Tools tönt, ist in der Tat das Gegenteil: VPNFilter ist eine Router-Malware, die hauptsächlich Geräte betrifft, die in Kleinunternehmen oder Privathaushalten stehen.

    Die Malware hat ein ziemlich beängstigendes Potenzial:

    • Zunächst fügt sie die infizierten Router zu einem Botnetz hinzu. Dieses kann von einem einzelnen Angreifer ferngesteuert werden, um z.B. Angriffe auf bestimmte Websites oder wichtige Netzinfrastrukturen auszuführen.
    • Ferner kann die Malware nach neusten Erkenntnissen in die Netzwerke eindringen, die über diese Router kommunizieren. Dort kann sie zum Ausspähen von Daten verwendet werden.
    • Cisco Talos berichtet, dass der Schädling «VPNFilter» auch in der Lage sei, weitere Schädlinge auf Geräte innerhalb der betroffenen Netzwerke auszuliefern. Eines der Schädlingsmodule kann Schadcode in Webseiten einschleusen, die über den infizierten Router besucht werden.
    • Ausserdem wurde in der Malware eine neue «Man in the Middle»-Komponente entdeckt. Das bedeutet, dass sie auch verschlüsselten Webverkehr mitlesen oder sogar verändern kann. Das ist eine erhebliche Gefahr z.B. fürs E-Banking oder auch fürs E-Voting.
    • Als wäre das nicht schon genug, kann der Schädling den Router komplett unbrauchbar machen, wenn der Botmaster ihm dies befiehlt. Hierfür hat er ein Modul an Bord, das einen wichtigen Bereich in der Firmware überschreiben kann, wodurch sich der Router durch den Benutzer nicht mehr in einen funktionsfähigen Zustand versetzen lässt.
    Der ursprünglich durchs FBI empfohlene Router-Reboot behindert den Schädling zwar. Aber er bringt wenig, weil Teile des Schädlings im Router verbleiben und er daher die weiteren Komponenten wieder aus dem Netz nachladen kann. Es ist leider bislang für die Anwender nicht möglich, eine Infektion des Routers festzustellen oder zweifelsfrei auszuschliessen.
    Es ist derzeit auch keine gemeinsame Sicherheitslücke feststellbar, über die der Schädling in die bereits entdeckten befallenen Geräte eingedrungen ist. Die betroffenen Geräte haben scheints nur eines gemeinsam: Von allen sind verschiedene, von aussen nutzbare Sicherheitslücken bekannt. Viele der Geräte wurden mit bekannten Standardpasswörtern für den Administrator-Account betrieben; das Ändern dieser Anmeldedaten bei Inbetriebnahme eines Routers ist ohnehin ein Muss.

    Empfehlungen, falls Ihr Gerät zu den betroffenen gehört

    Es ist kompliziert. Aber die folgenden Schritte sollten nach menschlichem Ermessen die Gefahr entfernen und soweit möglich eine Neuinfektion verhindern:

    • Prüfen Sie, ob es für Ihr Gerät bereits ein Firmware-Update gibt.
    • Sofern Ihr Router-Hersteller einen separaten Download des Firmware-Updates zulässt, laden Sie jenes am besten über einen anderen Kanal herunter, der nicht über diesen Router kommuniziert (z.B. Tethering via Handy-Netz statt via Router-WLAN). Legen Sie das Update auf einem USB-Stick bereit.
    • Setzen Sie den Router auf die Werkseinstellungen zurück. Das wirft den Schädling aus dem Router. Einige Geräte erlauben das Exportieren der Einstellungen. Tun Sie das vorher, dann haben Sie nachher weniger Konfigurationsaufwand.
    • Falls Ihr Router-Hersteller ein Update nur direkt via Internet erlaubt, schalten Sie den Router zuerst für ein paar Minuten aus. Das stoppt vorerst die Schadenskomponenten der Malware. Installieren Sie dann nach dem Einschalten als allererstes das Update.
    • Wenn ein separater Download des Updates möglich war, schalten Sie den Router ebenfalls kurz aus. Trennen Sie ihn vom Internet, bevor Sie ihn wieder einschalten. Die Verbindung vom PC zum Router sollte dadurch grundsätzlich noch funktionieren. Versuchen Sie, das Firmware-Update über diesen Weg einzuspielen.
    • Falls kein Firmware-Update vorliegt, setzen Sie den Router auf die Werkseinstellungen zurück und spielen die neuste verfügbare Firmware für diesen Router ein.
    • Schalten Sie (z.B. im Fall von Netgear-Routern) die Fernwartungs- bzw. Remote-Management-Dienste aus.
    • Ändern Sie gleich zu Anfang unbedingt das Passwort des Router-Administrator-Kontos; und am besten – sofern möglich – auch gleich dessen Benutzernamen.


    Die Liste der verwundbaren Gerätetypen

    Es sind inzwischen mehr Geräte bekannt, die sich den Schädling zuziehen können. Hier die Auflistung nach Hersteller:

    Asus:

    RT-AC66U
    RT-N10
    RT-N10E
    RT-N10U
    RT-N56U
    RT-N66U

    D-Link:

    DES-1210-08P
    DIR-300
    DIR-300A
    DSR-250N
    DSR-500N
    DSR-1000
    DSR-1000N

    Huawei:

    HG8245

    Linksys:

    E1200
    E2500
    E3000
    E3200
    E4200
    RV082
    WRVS4400N

    Mikrotik:

    CCR1009
    CCR1016
    CCR1036
    CCR1072
    CRS109
    CRS112
    CRS125
    RB411
    RB450
    RB750
    RB911
    RB921
    RB941
    RB951
    RB952
    RB960
    RB962
    RB1100
    RB1200
    RB2011
    RB3011

    RB Groove:

    RB Omnitik
    STX5

    Netgear:

    DG834
    DGN1000
    DGN2200
    DGN3500
    FVS318N
    MBRN3000
    R6400
    R7000
    R8000
    WNR1000
    WNR2000
    WNR2200
    WNR4000
    WNDR3700
    WNDR4000
    WNDR4300
    WNDR4300-TN
    UTM50

    QNAP:

    TS251
    TS439 Pro
    Andere QNAP NAS-Geräte mit QTS software

    TP-Link:

    R600VPN
    TL-WR741ND
    TL-WR841N

    Ubiquiti:

    NSM2
    PBE M5

    Upvel:

    Unbekannte Modelle. Man hat Komponenten entdeckt, die auch Geräte dieses Herstellers angreifen sollten, aber es ist noch nicht bekannt, welche Gerätetypen es betrifft.

    ZTE:

    ZXHN H108N


    Quelle: Router-Schädling «VPNFilter» schlimmer als gedacht ff
  • Suche nach Infektionen 04.07.2018, 15:18 Uhr
    Symantec entwickelt Online-Tool gegen VPNFilter-Malware
    Die Malware VPNFilter soll weltweit mehrere Hunderttausend Router und NAS-Server infiziert haben. Symantec hat nun ein Tool vorgestellt, um den Schädling aufzuspüren.

    Vor knapp zwei Monaten hat Cisco Talos erstmals auf einen gefährlichen neuen Netzwerkschädling hingewiesen. Mehrere Hunderttausend Router und NAS-Server sollen bereits durch eine Malware namens „VPNFilter“ infiziert worden sein. VPNFilter dringt über Sicherheitslücken in die betroffenen Netzwerkgeräte ein und fügt sie anschliessend zu einem Bot-Netz hinzu. Darüber hinaus dient der Schädling dazu, übertragene Daten auszuspähen, Netzwerkpakete zu manipulieren und um weiter in lokale Netze einzudringen. Der Sicherheitsanbieter Symantec hat deswegen nun ein erstes Online-Tool veröffentlicht, das es Unternehmen und Privatanwendern erleichtern soll, eine Infektion mit VPNFilter aufzuspüren.

    Online-Tool zur Jagd nach VPNFilter

    Es handelt sich dabei aber nicht um ein Werkzeug zum Entfernen der Malware. Der VPNFilter Check prüft nur, ob es Hinweise auf das Plug-in „ssler“ gibt. Wird es aufgespürt, ist der Router vermutlich mit VPNFilter befallen. Symantec empfiehlt in diesem Fall einen harten Reset des betroffenen Geräts durchzuführen, um es so wieder auf die Werkseinstellungen zurückzusetzen. Vorher sollte jedoch in der Regel die Konfiguration des Geräts gesichert werden.

    Anschliessend sollte das Gerät neu gestartet werden. Nach diesem Schritt muss sofort ein neues Admin-Passwort gesetzt werden, da sich VPNFilter sonst eventuell wieder einschleichen könnte. Wenn möglich, sollte das Gerät dabei nicht mit dem Internet verbunden sein. Nach dem Setzen des neuen Passworts sollten alle aktuellen Patches heruntergeladen und installiert werden.

    Symantec weist allerdings darauf, dass der Router auch mit VPNFilter beziehungsweise zumindest mit Teilen dieser Malware oder auch anderen Schädlingen infiziert sein kann. Das könne auch dann zutreffen, wenn keine direkten Hinweise auf das gefährliche Plug-in gefunden wurden. Das Unternehmen hat eine umfangreiche Liste aller aktuell als gefährdet eingestuften Netzwerkgeräte veröffentlicht. Dort finden sich zahlreiche Router und NAS-Server von Herstellern wie Asus, D-Link, Linksys, Netgear, Qnap und TP-Link. Der deutsche Hersteller AVM mit seinen hierzulande sehr beliebten Fritzboxen ist nicht aufgeführt.

    Autor(in) Andreas Fischer


    Quelle: Symantec entwickelt Online-Tool gegen VPNFilter-Malware - onlinepc.ch