Millionen von Routern und IoT-Geräten sind durch diese Schwachstelle gefährdet

Millionen von Routern und anderen Geräten in Gefahr

Laut einem Sicherheitsanbieter „ BotenaGo ” enthält Exploits für mehr als 30 Schwachstellen in Produkten mehrerer Anbieter und wird zur Verbreitung der Mirai-Botnet-Malware verwendet. Die Autoren dieser gefährlichen Malware, die auf Millionen von Routern und IoT-Geräten (Internet of Things) abzielt, haben ihren Quellcode auf GitHub hochgeladen. Das bedeutet, dass andere Kriminelle jetzt schnell neue Varianten des Tools generieren oder es so, wie es jetzt ist, für ihre Kampagnen verwenden können. Möglicherweise interessiert es Sie, wie Sie feststellen können, ob Ihre IP-Adresse Teil eines Botnetzes ist, und wie Sie dies vermeiden können.

Forscher von AT&T Alien Labs waren die ersten, die diese Malware entdeckten und sie BotenaGo nannten. Diese Malware ist in Go geschrieben, einer Programmiersprache, die bei Cyberkriminellen sehr beliebt geworden ist. In diesem Fall kommt es vollgepackt mit Exploits für über 30 Schwachstellen, die viele Marken betreffen , einschließlich Linksys, D-Link, NETGEAR und ZTE.

Wie diese Malware funktioniert

BotenaGo wurde entwickelt, um Remote-Shell-Befehle auf Systemen auszuführen, auf denen eine Schwachstelle erfolgreich ausgenutzt wurde. Letztes Jahr ein Analyse von AT&T Alien Labs fand zuerst heraus, dass die BotenaGo-Malware zwei verschiedene Methoden verwendete, um Befehle zum Angriff auf Opfer zu erhalten. Diese beiden Verfahren bestehen aus:

1. Sie verwendeten zwei Hintertüren, um die IP-Adressen der Zielgeräte abzuhören und zu empfangen.
2. Sie richten einen Listener für System-E/A-Benutzereingaben ein und erhalten darüber Zielinformationen.

Diese Forscher entdeckten auch, dass die Malware darauf ausgelegt ist, Befehle von einem Remote-Server zu empfangen, sie hat keine aktive Befehls- und Kontrollkommunikation. Sie gingen daher davon aus, dass BotenaGo Teil eines größeren Malware-Pakets und wahrscheinlich eines von mehreren Tools war, die bei einem Angriff verwendet wurden. Darüber hinaus wurde festgestellt, dass die Payload-Links denen ähneln, die von der Mirai-Botnet-Malware verwendet werden. Daraus ließe sich ableiten, dass es sich bei BotenaGo wohl um ein neues Tool der Mirai-Betreiber handelt.

IoT-Geräte und Millionen von Routern betroffen

Die Gründe warum die BotenaGo-Quellcode über GitHub veröffentlicht wurde, sind unklar. Die möglichen Folgen lassen sich jedoch abschätzen. Der Die Veröffentlichung des Quellcodes könnte die Varianten von BotenaGo stark erhöhen . Der Grund ist, dass andere Malware-Autoren den Quellcode für ihre spezifischen Zwecke und Angriffskampagnen verwenden und anpassen. Dies wird zweifellos dazu führen, dass Millionen von Routern und IoT-Geräten betroffen sind. Die betroffenen Marken müssen hart daran arbeiten, die Schwachstellen zu beheben und die entsprechenden Updates so schnell wie möglich herauszubringen, um diese Computer zu schützen. Darüber hinaus steht einer der Payload-Server von BotenaGo auch auf der Indicator of Compromise-Liste der kürzlich entdeckten Log4j-Schwachstellen.

Die Malware BotenaGo besteht aus nur 2,891 Codezeilen und kann ein guter Ausgangspunkt für neue Varianten sein. Dass es mit Exploits für mehr als 30 Schwachstellen für Millionen von Routern und IoT-Geräten vollgepackt ist, ist ein weiterer Faktor, den Malware-Autoren wahrscheinlich attraktiv finden werden. Unter den vielen Schwachstellen, die BotenaGo ausnutzen kann, finden wir:

• CVE-2015-2051 betrifft bestimmte WLAN-Router von D-Link.
• CVE-2016-1555 betrifft Netgear-Produkte,
• CVE-2013-3307 auf Linksys-Geräten.
• CVE-2014-2321 betrifft bestimmte ZTE-Kabelmodems.

Eine besorgniserregende Tatsache ist schließlich, dass laut AT&T Alien Labs derzeit nur drei der 60 Antivirenprogramme von VirusTotal in der Lage sind, diese Malware zu erkennen.