KW40: CSOC-Event der Woche – Verwundbare Routerfirmware
Durchschnittliche CSOC-Gesamtevents pro Tag: 57.735
Detektionshäufigkeit: 874
Eventbeschreibung Verwundbare Routerfirmware & Standard-Zugangsdaten / Kritikalität = hoch (8 / 10)
In dieser Woche berichten wir über ein Event, welches mit steigender Häufigkeit ausgelöst wird. In unserem Fall geht es um einen Angriff auf mobile Router der Firma Microhard Systems, der jedoch mit geringfügigen Abweichungen an vielen weiteren Routern anwendbar ist.
Router respektive Modems sind erforderlich, um über die Leitungen der Provider eine Internetverbindung aufbauen zu können. Im Regelfall erhalten Kunden ein Gerät von ihrem Anbieter, welches mit Standard-Zugangsdaten versehen ist. Diese Zugangsdaten zum Webinterface des Routers sind notwendig, um Konfigurationen und auch Sicherheitseinstellungen vornehmen zu können.
Unser Event wird durch einen Exploit ausgelöst, der versucht, eine Konfigurationsdatei aus dem Speicher des Microhard Systems Routers auszulesen und die darin befindlichen DNS-Einträge zu manipulieren. Hierbei werden die Standard-Zugangsdaten verwendet. Diese Zugangsdaten sind bei einigen verwundbaren Firmware-Versionen einprogrammiert und ermöglichen auch bei Änderung des Standard-Passworts den Zugriff. Wurde die Firmware nicht aktualisiert, wird besagte Konfigurationsdatei verändert und ermöglicht dem Angreifer, seine Ziele auf manipulierte Webseiten weiterzuleiten, welche z.B. die Login-Bereiche von sozialen Netzwerken nachstellen. Ein solches Szenario ist nur eine der Möglichkeiten, die Angreifern mit Zugang zu einem Router offenstehen. Wir empfehlen daher bei der Ersteinrichtung des Routers stets die aktuellste verfügbare Firmware zu installieren und auch bei unbetroffenen Routern ein sicheres Passwort zu vergeben.
Technische Darstellung: Verwundbare Routerfirmware & Standard-Zugangsdaten
A malicious document embeds the same Flash object twice in an ActiveX control for an unknown reason, although this is likely an operational mistake. The Flash files work in the same manner as the last known attack using this tool: the embedded Flash decompresses a second Flash object that handles the communication with the exploit delivery server. The only difference is that this second Flash object is no longer stored encrypted. There are other signs that this campaign was devised hastily: for example, the actors did not change the decryption algorithm constants as they have in the past. These particular constants were already used in a late December 2016 campaign. Each document uses a different domain for victim exploitation, while the communication protocol with the server stayed the same as well.