{"id":230117,"date":"2020-03-29T11:53:45","date_gmt":"2020-03-29T09:53:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230117"},"modified":"2020-10-24T00:50:34","modified_gmt":"2020-10-23T22:50:34","slug":"angriffe-auf-daytrec-router-gefhrden-firmennetze","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/29\/angriffe-auf-daytrec-router-gefhrden-firmennetze\/","title":{"rendered":"Angriffe auf DrayTrec-Router gef&auml;hrden Firmennetze"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Aktuell greift eine unbekannte Hackergruppe DrayTrec-Router und VPNs, die h\u00e4ufig in Firmen eingesetzt werden, an. Hier ein paar Informationen, was aktuell bekannt ist.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/d1df00b53b3340cc9fca4a99cab38425\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin sowohl auf Twitter als auch \u00fcber <a href=\"https:\/\/thehackernews.com\/2020\/03\/draytek-network-hacking.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen The Hacker News-Artikel<\/a> auf dieses Thema aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">NEW: A mysterious hacker group is eavesdropping on corporate email and FTP traffic<\/p>\n<p>&#8211; Attacks target DrayTek enterprise routers \/ VPN gateways<br \/>\n&#8211; Hackers deploy script for recording port 21, 25, 110, 143 traffic<br \/>\n&#8211; Script exfils logged traffic 3 times\/week<a href=\"https:\/\/t.co\/pJVY8KqVhl\">https:\/\/t.co\/pJVY8KqVhl<\/a> <a href=\"https:\/\/t.co\/rv9ydz4LHz\">pic.twitter.com\/rv9ydz4LHz<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1243807536622350336?ref_src=twsrc%5Etfw\">March 28, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Sicherheitsforscher von Qihoo 360 haben diese Angriffe beobachtet und die Tage <a href=\"https:\/\/blog.netlab.360.com\/two-zero-days-are-targeting-draytek-broadband-cpe-devices-en\/\" target=\"_blank\" rel=\"noopener noreferrer\">\u00f6ffentlich<\/a> gemacht. Es gibt eit dem 4. Dezember 2019 wohl mindestens zwei 0-day-Angriffskampagnen in freier Wildbahn, die auf im Unternehmensumfeld eingesetzte Netzwerkger\u00e4te des taiwanesischen Herstellers DrayTek zielen.<\/p>\n<p>Die Angriffe versuchen zwei 0-day-Schwachstellen von DrayTek Vigor Enterprise-Routern und Switch-Ger\u00e4ten auszunutzen. Sind die Ger\u00e4te angreifbar, werden eine Reihe von Angriffen durchgef\u00fchrt. Dazu geh\u00f6rt das Abh\u00f6ren des Netzwerkverkehrs der Ger\u00e4te, das Ausf\u00fchren von SSH-Diensten auf diversen Ports, das Erstellen von System-Backdoor-Konten und sogar das Erstellen einer speziellen b\u00f6sartigen Web-Session-Backdoor.<\/p>\n<h2>E-Mail- und FTP-Verkehr abfangen<\/h2>\n<p>Der anspruchsvollere der beiden Angriffe auf DrayTek-Ger\u00e4te fiel den Sicherheitsforschern am 4. Dezember 2019 auf. Laut Qihoo nutzen die Angreifer eine Schwachstelle im RSA-verschl\u00fcsselten Anmeldemechanismus der DrayTek-Ger\u00e4te, um b\u00f6sartigen Code im Anmeldefeld des Routerzugangs zu verstecken.<\/p>\n<p>Als ein DrayTek-Router die RSA-verschl\u00fcsselten Anmeldedaten, die von einem Boobytrapplet erfasst wurden, empfing und entschl\u00fcsselte, f\u00fchrte er den b\u00f6sartigen Code aus und gew\u00e4hrte den Hackern die Kontrolle \u00fcber den Router.<\/p>\n<p>Anstatt das Ger\u00e4t zu missbrauchen, um DDoS-Angriffe zu starten oder den Datenverkehr als Teil eines Proxy-Netzwerks umzuleiten, verwandelten die Hacker den Router in eine Spionagebox. Die Forscher schreiben, dass die Hacker ein Skript eingesetzt haben, das den Verkehr \u00fcber Port 21 (FTP &#8211; Datei\u00fcbertragung), Port 25 (SMTP &#8211; E-Mail), Port 110 (POP3 &#8211; E-Mail) und Port 143 (IMAP &#8211; E-Mail) aufzeichnet.<\/p>\n<p>Das Skript transferiert den gesamten aufgezeichneten Datenverkehr an jedem Montag, Mittwoch und Freitag um 00:00 Uhr auf einen Remote-Server. Details finden sich im <a href=\"https:\/\/blog.netlab.360.com\/two-zero-days-are-targeting-draytek-broadband-cpe-devices-en\/\" target=\"_blank\" rel=\"noopener noreferrer\">Qihoo-Dokument<\/a>. Warum die Angreifer den FTP- und E-Mail-Verkehr sammelten, ist unklar. M\u00f6glicherweise wollte man nur Informationen sammeln, um sp\u00e4ter gezielt zuzuschlagen.<\/p>\n<h2>Backdoor-Konten einrichten<\/h2>\n<p>Die zweite Angriffsgruppe nutzt einen anderen 0-day-Exploit, der erstmalig in einem Beitrag vom 26. Januar im <a href=\"https:\/\/web.archive.org\/web\/20200809075524\/https:\/\/www.skullarmy.net\/2020\/01\/draytek-unauthenticated-rce-in-draytek.html\" target=\"_blank\" rel=\"noopener noreferrer\">Skull Army-Blog<\/a> beschrieben wurde. Zwei Tage sp\u00e4ter begannen die Hacker den Exploit auszunutzen.<\/p>\n<p>Laut Qihoo nutzen die Hacker einen Fehler im \"rtick\"-Prozess auf anf\u00e4lligen DrayTek-Ger\u00e4ten aus, um Backdoor-Konten auf den gehackten Routern zu erstellen. Was die Angreifer mit diesen Konten gemacht haben, ist bisher unbekannt.<\/p>\n<h2>Seit Februar 2020 gibt es Firmware-Updates<\/h2>\n<p>Qihoo informierte DrayTek \u00fcber beide 0-day-Schwachstellen, wobei die erst Warnung wohl nie die zust\u00e4ndigen Mitarbeiter von DrayTek erreichte. Erst nachdem die zweite Angriffswelle mit den Backdoor-Konten lief, wurde der Hersteller aktiv. DrayTek ver\u00f6ffentlichte am 10. Februar 2020 <a href=\"https:\/\/www.draytek.com\/about\/security-advisory\/vigor3900-\/-vigor2960-\/-vigor300b-router-web-management-page-vulnerability-(cve-2020-8515)\/\" target=\"_blank\" rel=\"noopener noreferrer\">Firmware-Updates<\/a>, darunter sogar einen Firmware-Patch f\u00fcr ein inzwischen eingestelltes Router-Modell.<\/p>\n<p>Laut Qihoo finden Angriffe gegen die DrayTek Vigor Router-Modelle <a href=\"https:\/\/www.draytek.com\/products\/vigor2960\/\" target=\"_blank\" rel=\"noopener noreferrer\">2960<\/a>, <a href=\"https:\/\/www.draytek.com\/products\/vigor3900\/\" target=\"_blank\" rel=\"noopener noreferrer\">3900<\/a> und <a href=\"https:\/\/www.draytek.com\/products\/vigor300B\/\" target=\"_blank\" rel=\"noopener noreferrer\">300B<\/a> statt. ZDnet schreibt in <a href=\"https:\/\/www.zdnet.com\/article\/a-mysterious-hacker-group-is-eavesdropping-on-corporate-ftp-and-email-traffic\/\" target=\"_blank\" rel=\"noopener noreferrer\">seinem Artikel<\/a>, dass man mit Hilfe der BinaryEdge-Suchmaschine mehr als 978.000 DrayTek Vigor-Ger\u00e4te im Internet finden konnte. Laut <a href=\"https:\/\/twitter.com\/360Netlab\/status\/1209763610525757443\" target=\"_blank\" rel=\"noopener noreferrer\">Qihoo<\/a> laufen nur etwa 100.000 davon mit einer Firmware-Version, die anf\u00e4llig f\u00fcr Angriffe ist.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aktuell greift eine unbekannte Hackergruppe DrayTrec-Router und VPNs, die h\u00e4ufig in Firmen eingesetzt werden, an. Hier ein paar Informationen, was aktuell bekannt ist.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,123,426],"tags":[3081,4307,2038,4328],"class_list":["post-230117","post","type-post","status-publish","format-standard","hentry","category-gerate","category-netzwerk","category-sicherheit","tag-geraete","tag-netzwerk","tag-router","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230117","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230117"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230117\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230117"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230117"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230117"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}