Unbekannten Angreifern ist es gelungen, mehr als 45.000 Router aus der Ferne anzugreifen. Das schreibt das Sicherheitsunternehmen Akamai in einem neuen Bericht. Die Angreifer haben dafür Gebrauch von einem Exploit namens "EternalBlue" gemacht. Dieser hat seinen Ursprung bei der NSA.

Wer hinter der Attacke steht, ist bisher nicht bekannt. EternalBlue wurde zwar von der NSA entwickelt, gelangte aber auf unbekanntem Wege in die Hände des Hackerkollektivs Shadow Brokers, die sie online in Umlauf brachte.

Großes Netz für kleinen Teich

Der Exploit zielt auf anfällige Implementationen des Universal Plug & Play-Dienstes (UPnP). Über diesen können damit zwei Ports geöffnet werden. Das soll zahlreiche Möglichkeiten schaffen. Denkbar sind Ransomware-Attacken oder eine permanente Präsenz im Netzwerk. Die Forscher nehmen an, dass es die Hacker eigentlich auf die Geräte abgesehen haben, die mit den Routern verbunden sind.

Laut der Analyse der Experten geht es dabei um 1,7 Millionen Computer. Ob auch dieses kompromittiert werden konnte, konnte man nicht herausfinden. "Die Betroffenen sind den Angreifern ausgeliefert", heißt es weiter. Denn der Angriff ist selbst für Netzwerkadmins kaum zu erkennen.

Laut Akamai handelte es sich nicht um einen gezielten Angriff, sondern ein Experiment mit einfach verfügbarer Malware. Die Hacker würden mit "einem großen Netz in einem relativ kleinen Teich fischen", in der Hoffnung, sich Zugriff auf einige bisher nicht angreifbare Geräte zu verschaffen, fasst Ars Technica zusammen.

Exploit auch schon für Wannacry verwendet

EternalBlue und sein für Linux ausgelegtes Pendant EternalRed sind seit ihrem "Entkommen" aus der NSA nicht zum ersten Mal in Verwendung. Sie waren auch schon Teil des großen Ransomware-Angriffs Wannacry sowie der Schadsoftware NotPetya.

Von der UPnP-Schwachstelle betroffen sind zahlreiche Router diverser Hersteller. Darunter finden sich auch bekannte Marken wie Asus, Belkin, D-Link, Netgear oder Zyxel. Eine Liste findet sich in einem Whitepaper von Akamai (PDF, Seite 15).

Maßnahmen

Wer ein betroffenes Gerät besitzt, sollte prüfen, ob aktuelle Firmware installiert oder verfügbar ist, die die Lücke gestopft hat. Muss erst sichere Software eingespielt werden, so sollte nach Empfehlung von Ars Technica eine Zurücksetzung auf die Werkseinstellungen erfolgen, um sicher zu gehen.

Gibt es keine bereinigt Firmware, rät man zur Anschaffung eines neuen Routers. Zumindest aber sollte UPnP deaktiviert und eine Rücksetzung durchgeführt werden. Aktuellere Router sollten gegenüber EternalBlue abgesichert sein. (red, 30.11.2018)