Router-Schädling «VPNFilter» schlimmer als gedacht

Sicherheitsexperten haben weitere verwundbare Router- und NAS-Geräte gefunden. Der Schädling hat zudem zerstörerische Fähigkeiten.

von Gaby Salvisberg 07.06.2018

Durch Cisco Talos wurde ein Router-Schädling entdeckt. Die Sicherheitsexperten traten im Mai an die Öffentlichkeit mit ersten Informationen (PCtipp berichtete). Nun haben die Forscher einige weitere Details zum Schädling zutage gefördert und mussten die Liste der verwundbaren Gerätetypen vergrössern. Inzwischen weiss man nicht nur von 500'000, sondern von 700'000 infizierten Einzelgeräten. Die meisten sind Netzwerk-Router; es sind aber auch ein paar NAS-Geräte betroffen.

Was ist VPNFilter?

Was wie der Name eines Sicherheits-Tools tönt, ist in der Tat das Gegenteil: VPNFilter ist eine Router-Malware, die hauptsächlich Geräte betrifft, die in Kleinunternehmen oder Privathaushalten stehen.

Die Malware hat ein ziemlich beängstigendes Potenzial:

  • Zunächst fügt sie die infizierten Router zu einem Botnetz hinzu. Dieses kann von einem einzelnen Angreifer ferngesteuert werden, um z.B. Angriffe auf bestimmte Websites oder wichtige Netzinfrastrukturen auszuführen.
  • Ferner kann die Malware nach neusten Erkenntnissen in die Netzwerke eindringen, die über diese Router kommunizieren. Dort kann sie zum Ausspähen von Daten verwendet werden.
  • Cisco Talos berichtet, dass der Schädling «VPNFilter» auch in der Lage sei, weitere Schädlinge auf Geräte innerhalb der betroffenen Netzwerke auszuliefern. Eines der Schädlingsmodule kann Schadcode in Webseiten einschleusen, die über den infizierten Router besucht werden.
  • Ausserdem wurde in der Malware eine neue «Man in the Middle»-Komponente entdeckt. Das bedeutet, dass sie auch verschlüsselten Webverkehr mitlesen oder sogar verändern kann. Das ist eine erhebliche Gefahr z.B. fürs E-Banking oder auch fürs E-Voting.
  • Als wäre das nicht schon genug, kann der Schädling den Router komplett unbrauchbar machen, wenn der Botmaster ihm dies befiehlt. Hierfür hat er ein Modul an Bord, das einen wichtigen Bereich in der Firmware überschreiben kann, wodurch sich der Router durch den Benutzer nicht mehr in einen funktionsfähigen Zustand versetzen lässt.

Der ursprünglich durchs FBI empfohlene Router-Reboot behindert den Schädling zwar. Aber er bringt wenig, weil Teile des Schädlings im Router verbleiben und er daher die weiteren Komponenten wieder aus dem Netz nachladen kann. Es ist leider bislang für die Anwender nicht möglich, eine Infektion des Routers festzustellen oder zweifelsfrei auszuschliessen.

Es ist derzeit auch keine gemeinsame Sicherheitslücke feststellbar, über die der Schädling in die bereits entdeckten befallenen Geräte eingedrungen ist. Die betroffenen Geräte haben scheints nur eines gemeinsam: Von allen sind verschiedene, von aussen nutzbare Sicherheitslücken bekannt. Viele der Geräte wurden mit bekannten Standardpasswörtern für den Administrator-Account betrieben; das Ändern dieser Anmeldedaten bei Inbetriebnahme eines Routers ist ohnehin ein Muss.

Nächste Seite: Empfehlungen, falls Ihr Gerät zu den betroffenen gehört

Empfehlungen, falls Ihr Gerät zu den betroffenen gehört

Es ist kompliziert. Aber die folgenden Schritte sollten nach menschlichem Ermessen die Gefahr entfernen und soweit möglich eine Neuinfektion verhindern:

  • Prüfen Sie, ob es für Ihr Gerät bereits ein Firmware-Update gibt.
  • Sofern Ihr Router-Hersteller einen separaten Download des Firmware-Updates zulässt, laden Sie jenes am besten über einen anderen Kanal herunter, der nicht über diesen Router kommuniziert (z.B. Tethering via Handy-Netz statt via Router-WLAN). Legen Sie das Update auf einem USB-Stick bereit.
  • Setzen Sie den Router auf die Werkseinstellungen zurück. Das wirft den Schädling aus dem Router. Einige Geräte erlauben das Exportieren der Einstellungen. Tun Sie das vorher, dann haben Sie nachher weniger Konfigurationsaufwand.
  • Falls Ihr Router-Hersteller ein Update nur direkt via Internet erlaubt, schalten Sie den Router zuerst für ein paar Minuten aus. Das stoppt vorerst die Schadenskomponenten der Malware. Installieren Sie dann nach dem Einschalten als allererstes das Update.
  • Wenn ein separater Download des Updates möglich war, schalten Sie den Router ebenfalls kurz aus. Trennen Sie ihn vom Internet, bevor Sie ihn wieder einschalten. Die Verbindung vom PC zum Router sollte dadurch grundsätzlich noch funktionieren. Versuchen Sie, das Firmware-Update über diesen Weg einzuspielen.
  • Falls kein Firmware-Update vorliegt, setzen Sie den Router auf die Werkseinstellungen zurück und spielen die neuste verfügbare Firmware für diesen Router ein.
  • Schalten Sie (z.B. im Fall von Netgear-Routern) die Fernwartungs- bzw. Remote-Management-Dienste aus.
  • Ändern Sie gleich zu Anfang unbedingt das Passwort des Router-Administrator-Kontos; und am besten – sofern möglich – auch gleich dessen Benutzernamen.

Nächste Seite: Die Liste der verwundbaren Gerätetypen

Die Liste der verwundbaren Gerätetypen

Es sind inzwischen mehr Geräte bekannt, die sich den Schädling zuziehen können. Hier die Auflistung nach Hersteller:

Asus:

RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U

D-Link:

DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N

Huawei:

HG8245

Linksys:

E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N

Mikrotik:

CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011

RB Groove:

RB Omnitik
STX5

Netgear:

DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50

QNAP:

TS251
TS439 Pro
Andere QNAP NAS-Geräte mit QTS software

TP-Link:

R600VPN
TL-WR741ND
TL-WR841N

Ubiquiti:

NSM2
PBE M5

Upvel:

Unbekannte Modelle. Man hat Komponenten entdeckt, die auch Geräte dieses Herstellers angreifen sollten, aber es ist noch nicht bekannt, welche Gerätetypen es betrifft.

ZTE:

ZXHN H108N