VPN Filter Update: Mehr Geräte bedroht als angenommen
Die Router-Malware VPN Filter bedroht mehr Geräte als angenommen. Und: Nicht nur Netzwerkgeräte, sondern auch Endpoints könnten infiziert werden.
Sicherheitsforscher von Cisco Talos haben am Donnerstag neue Erkenntnisse zur Router-Malware VPN-Filter veröffentlicht. Ein Stage 3-Modul mit dem Namen „ssler“ erweitere die Gefahr über das Netzwerkgerät hinaus auf die Geräte, die an den betreffenden Router gekoppelt sind. Gelingt es der Malware, auch diese Endpoints zu infizieren, gilt das gesamte Netzwerk als infiltriert. Außerdem entdeckten die Sicherheitsforscher eine Erweiterung des Befehls „kill“, der die Spuren der Malware verwischt und Geräte unnutzbar macht.
Als betroffen galten bis zuletzt vor allem Geräte der Hersteller Netgear, TP-Link, Linksys und Mikrotik, die in erster Linie bei privaten Nutzern, Selbstständigen und kleinen Firmen im Einsatz sind. Cisco Talos erklärte jetzt, auch Router von ASUS, D-Link, Huawei, Ubiquiti, UPVEL, and ZTE könnten infiziert werden. Cisco Talos veröffentlichte eine neue Übersicht über alle gefährdeten Gerätetypen (siehe Tabelle).
VPN Filter - Betroffene Geräte
Hersteller | Gerätetyp |
---|---|
ASUS DEVICES | RT-AC66U (new) RT-N10 (new) RT-N10E (new) RT-N10U (new) RT-N56U (new) RT-N66U (new) |
D-LINK DEVICES | DES-1210-08P (new) DIR-300 (new) DIR-300A (new) DSR-250N (new) DSR-500N (new) DSR-1000 (new) DSR-1000N (new) |
LINKSYS DEVICES | E1200 E2500 E3000 (new) E3200 (new) E4200 (new) RV082 (new) WRVS4400N |
MIKROTIK DEVICES | CCR1009 (new) CCR1016 CCR1036 CCR1072 CRS109 (new) CRS112 (new) CRS125 (new) RB411 (new) RB450 (new) RB750 (new) RB911 (new) RB921 (new) RB941 (new) RB951 (new) RB952 (new) RB960 (new) RB962 (new) RB1100 (new) RB1200 (new) RB2011 (new) RB3011 (new) RB Groove (new) RB Omnitik (new) STX5 (new) |
NETGEAR DEVICES | DG834 (new) DGN1000 (new) DGN2200 DGN3500 (new) FVS318N (new) MBRN3000 (new) R6400 R7000 R8000 WNR1000 WNR2000 WNR2200 (new) WNR4000 (new) WNDR3700 (new) WNDR4000 (new) WNDR4300 (new) WNDR4300-TN (new) UTM50 (new) |
QNAP DEVICES | TS251 TS439 Pro Other QNAP NAS devices running QTS software |
TP-LINK DEVICES | R600VPN TL-WR741ND (new) TL-WR841N (new) |
UBIQUITI DEVICES | NSM2 (new) PBE M5 (new) |
ZTE DEVICES | ZXHN H108N (new) |
UPVEL DEVICES | Unknown Models (new) |
HUAWEI DEVICES | HG8245 (new) |
Hersteller geben Empfehlungen
Einige Hersteller geben indes Hinweise zum Umgang mit dem Sicherheitsproblem. D-Link und Netgear beispielsweise gehen davon aus, mit bereits verfügbaren Firmware-Varianten die Lücke schließen zu können, und raten zum Einspielen der neuesten Firmware-Version. TP-Link rät Nutzern seiner Geräte, die ab Werk eingestellten Werte für den Administrator-Benutzer zu ändern sowie Remote-Management-Funktionen nach Möglichkeit abzustellen.
FBI: Begrenzte Gefahr nach Neustart
Wie berichtet vermutet Cisco Talos hinter VPN Filter staatliche Akteure und deutet im Kontext eine Verantwortlichkeit der russischen Regierung – beziehungsweise des russischen Geheimdienstes – an. Nach dem Bekanntwerden des Angriffs auf rund 500.000 Netzwerkgeräte war es dem FBI nach eigenen Angaben gelungen, die Gefahr einzudämmen. Die amerikanische Sicherheitsbehörde hat Kontrolle über jenen Server erlangt, über den die Malware Informationen zur Neuinstallation bezieht, wenn sie zu Teilen entfernt worden ist. Wer nun ein infiziertes Gerät neustartet, wird die Malware zwar nicht los, sie verbindet sich aber nurmehr mit einer Seite des FBI, das auf diesem Wege infizierte Geräte identifizieren kann. Dies bedeutet allerdings nicht zwingend, dass die Malware langfristig unschädlich bleibt, wie das US-Justizministerium erklärt.