Diese Maßnahmen schützen vor VPNFilter

Durch Cisco Talos wurde ein Router-Schädling entdeckt. Die Sicherheitsexperten traten im Mai an die Öffentlichkeit mit ersten Informationen. Nun haben die Forscher einige weitere Details zum Schädling zutage gefördert und mussten die Liste der verwundbaren Gerätetypen vergrößern. Inzwischen weiß man nicht nur von 500.000, sondern von 700.000 infizierten Einzelgeräten. Die meisten sind Netzwerk-Router; es sind aber auch ein paar NAS-Geräte betroffen.

Was wie der Name eines Sicherheits-Tools klingt, ist in der Tat das Gegenteil: VPNFilter ist eine Router-Malware, die hauptsächlich Geräte betrifft, die in Kleinunternehmen oder Privathaushalten stehen.

Die Malware hat ein ziemlich beängstigendes Potenzial:

• Zunächst fügt sie die infizierten Router zu einem Botnetz hinzu. Dieses kann von einem einzelnen Angreifer ferngesteuert werden, um etwa Angriffe auf bestimmte Websites oder wichtige Netzinfrastrukturen auszuführen.
• Ferner kann die Malware nach neusten Erkenntnissen in die Netzwerke eindringen, die über diese Router kommunizieren. Dort kann sie zum Ausspähen von Daten verwendet werden.
• Cisco Talos berichtet, dass der Schädling VPNFilter auch in der Lage sei, weitere Schädlinge auf Geräte innerhalb der betroffenen Netzwerke auszuliefern. Eines der Schädlingsmodule kann Schadcode in Webseiten einschleusen, die über den infizierten Router besucht werden.
• Außerdem wurde in der Malware eine neue Man-in-the-Middle-Komponente entdeckt. Das bedeutet, dass sie auch verschlüsselten Webverkehr mitlesen oder sogar verändern kann. Das ist eine erhebliche Gefahr für E-Banking oder auch für E-Voting.
• Als wäre das nicht schon genug, kann der Schädling den Router komplett unbrauchbar machen, wenn der Botmaster ihm dies befiehlt. Hierfür hat er ein Modul an Bord, das einen wichtigen Bereich in der Firmware überschreiben kann, wodurch sich der Router durch den Benutzer nicht mehr in einen funktionsfähigen Zustand versetzen lässt.
  

Der ursprünglich durchs FBI empfohlene Router-Reboot behindert den Schädling zwar. Aber er bringt wenig, weil Teile des Schädlings im Router verbleiben und er daher die weiteren Komponenten wieder aus dem Netz nachladen kann. Es ist leider bislang für die Anwender nicht möglich, eine Infektion des Routers festzustellen oder zweifelsfrei auszuschließen.

Es ist derzeit auch keine gemeinsame Sicherheitslücke feststellbar, über die der Schädling in die bereits entdeckten befallenen Geräte eingedrungen ist. Die betroffenen Geräte haben nur eines gemeinsam: Von allen sind verschiedene, von außen nutzbare Sicherheitslücken bekannt. Viele der Geräte wurden mit bekannten Standardpasswörtern für den Administrator-Account betrieben; das Ändern dieser Anmeldedaten bei Inbetriebnahme eines Routers ist ohnehin ein Muss.

Folgenden Schritte sollten die Gefahr, die von VPNFilter ausgeht, soweit wie möglich eindämmen und eine Neuinfektion verhindern:

Es sind inzwischen mehr Geräte bekannt, die sich den Schädling zuziehen können. Hier die Auflistung nach Hersteller:

Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U

D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N

Huawei: HG8245

Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N

Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109 ,CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011

RB Groove: RB Omnitik, STX5

Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50

QNAP: TS251, TS439 Pro, Andere QNAP NAS-Geräte mit QTS-Software

TP-Link: R600VPN, TL-WR741ND, TL-WR841N

Ubiquiti: NSM2, PBE M5

Upvel: Unbekannte: Man hat Komponenten entdeckt, die auch Geräte dieses Herstellers angreifen, aber es ist noch nicht bekannt, welche Gerätetypen es betrifft.

ZTE: ZXHN H108N