Backdoor ohne Malware auf tausenden Asus-Routern eingerichtet

In einer größer angelegten Kampagne wurden in letzter Zeit zahl­rei­che Asus-Router mit "malwarefreien" Backdoors kompromittiert. Die Angreifer nutzen dabei Schwachstellen sowie legitime Funktionen, um ohne herkömmliche Schadsoftware dauerhaften Zugriff zu erlangen.
Logo, Asus, Chiphersteller

Updates helfen nicht

Die Hintertüren, die seit Mitte März dieses Jahres aktiv sind, überstehen sowohl Neustarts als auch Firmware-Updates. Das macht sie besonders schwer zu entfernen. Forscher des Security-Unternehmens GreyNoise entdeckten die Angriffe mithilfe eines KI-basierten Analysewerkzeugs und veröffentlichten Details nach Rücksprache mit Behörden und Industriepartnern.

Auch das französische Sicherheitsunternehmen Sekoia.io bestätigte im Rahmen der Analyse einer breiteren Kampagne - genannt "ViciousTrap" - die Kompromittierung Tausender Asus-Router. Zwar wurden Geräte anderer Hersteller als Honeypots verwendet, doch bei Asus-Geräten ging es laut Sekoia.io gezielt um den Aufbau eines dauerhaften Fernzugriffs.


Die Angreifer verschaffen sich Zugriff über eine Kombination aus Brute-Force-Angriffen und Authentifizierungsumgehungen. Dabei kommen teils bekannte, aber bislang nicht mit CVE-Nummern katalogisierte Schwachstellen zum Einsatz. Eine häufig genutzte Technik ist die Manipulation des Asus-spezifischen User-Agent-Strings ("asusrouter--") sowie der Einsatz eines manipulierten Cookies ("asus_token="), der möglicherweise die Authentifizierungsroutine aushebelt.

Sekoia.io identifizierte außerdem die Ausnutzung der Schwachstelle CVE-2021-32030, die bestimmte Asus-Modelle wie den GT-AC2900 und Lyra Mini betrifft. Bei neueren Modellen wie dem RT-AX55 wird zudem eine Sicherheitslücke ausgenutzt, mit der eine Logging-Funktion für die Ausführung beliebiger Befehle missbraucht werden kann.

Es gibt Hilfe

Nach der erfolgreichen Authentifizierung richten die Angreifer einen SSH-Zugang über den Port TCP/53282 ein und speichern ihren öffentlichen Schlüssel im System, um dauerhaft auf das Gerät zugreifen zu können. Da die Hintertür in einem nichtflüchtigen Speicherbereich (NVRAM) liegt, bleibt sie auch nach Firmware-Updates aktiv.

GreyNoise empfiehlt Nutzern, kompromittierte Router auf Werkseinstellungen zurückzusetzen und manuell neu zu konfigurieren. Zudem sollten verdächtige SSH-Zugriffe auf Port 53282 überprüft sowie bekannte Schad-IP-Adressen blockiert werden. Auch regelmäßige Sicherheitsupdates vor einer Infektion sind dringend angeraten.

Zusammenfassung
  • Tausende Asus-Router mit Backdoors ohne klassische Malware infiziert
  • Entdeckte Hintertüren überstehen Neustarts und Firmware-Updates
  • Angreifer nutzen Brute-Force und Authentifizierungsumgehung für Zugang
  • Manipulation von User-Agent-Strings und Cookies ermöglicht Eindringen
  • Dauerhafter Zugriff durch eingerichteten SSH-Zugang auf Port 53282
  • Backdoor-Installation im NVRAM macht sie besonders widerstandsfähig
  • Empfehlung: Router auf Werkseinstellungen zurücksetzen und neu einrichten

Siehe auch:
Thema:
Asus
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Videos von Asus-Geräten
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Asus-Videos
Asus RTX 4090 im Preisvergleich:
Derzeit keine Angebote im Preisvergleich
Neue Asus-Downloads
Beiträge aus dem Forum
Zum Notebook & Tablet-PCs-Forum
Beliebt im Preisvergleich
Notebooks Preisvergleich
Weiterführende Links
Neue Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!