Die Bedrohung durch das Mirai-Botnetz wächst. Unbekannte Angreifer haben sich auf spezifische Router von Zyxel und Telefoniegeräte von Mitel spezialisiert. Sicherheitspatches existieren für einige Mitel-Geräte seit Sommer des letzten Jahres. Hingegen gibt es für die anfälligen Zyxel-Router der CPE-Serie noch kein Update.
Umfang der Angriffe unbekannt
Der genaue Umfang dieser Angriffe bleibt unklar. Infizierte Geräte werden ins Botnetz integriert und fungieren vor allem als Rechenknechte für DDoS-Attacken – eine Gefahr für die gesamte Netzwerkinfrastruktur.
Sicherheitswarnungen und neue Malware
Sicherheitsforscher von Akamai warnen vor Angriffen auf Zyxel-SIP-Phones. Die Angreifer setzen hierbei auf eine Sicherheitslücke (CVE-2024-41710, "mittel"). Die Malware Aquabot, basierend auf dem Mirai-Botnetz, wird als Bedrohung eingeschätzt. Laut den Forschern handelt es sich bereits um die dritte bekannte Variante des Trojaners.
In dieser Version soll die Malware in der Lage sein, Alarm zu schlagen und die Command-and-Control-Server der Angreifer zu kontaktieren, wenn Nutzer versuchen die Schadfunktionen zu deaktivieren. Sicherheitsforscher konnten diesen Prozess jedoch bisher nicht nachvollziehen.
Betroffene Modelle von Mitel
Besonders die Modelle 6800 Series SIP Phones 6900 Series SIP Phones 6900w Series SIP Phones und 6970 Conference Unit sind betroffen. Die Firmware R6.4.0.HF2 (R.6.4.0.137) stellt eine mögliche Lösung dar. Die Forscher geben Hinweise (IOCs), an denen Administratoren erkennen können, ob bereits Angriffe erfolgt sind.
Zyxel-Router unter Druck
Die Schwachstelle in den Zyxel-Routern (CVE-2024-40891) ist seit Juli des vorigen Jahres bekannt. Die Bedrohungsklassifizierung steht jedoch noch aus. Greynoise bezeichnet diese Schwachstelle als „kritisch“. Sie ist eine Zero-Day-Lücke, für die bislang kein Sicherheitsupdate bereitsteht.
Wann ein Update erscheinen wird, bleibt ungewiss. Bislang gibt es keine offizielle Warnmeldung von Zyxel zu dieser Sicherheitsproblematik. Eine Antwort auf Anfragen von heise Security steht ähnlich wie noch aus.
Angreifer handeln ohne Authentifizierung
Die Angreifer nutzen präparierte HTTPS-Anfragen um an der Schwachstelle anzusetzen und ihre Befehle auf Geräten auszuführen. Eine Analyse der Internet Intelligence Platform Censys zeigt, dass rund 1500 verwundbare Geräte gegenwärtig online erreichbar sind.
Vorbeugende Maßnahmen für Administratoren
Um die Geräte bis zur Veröffentlichung eines Patches vorübergehend zu schützen, sollten Administratoren bestimmte Maßnahmen ergreifen. Eine Überwachung des Netzwerkverkehrs auf ungewöhnliche Telnet-Anfragen ist empfehlenswert. Zudem sollte der Admin-Zugriff auf vertrauenswürdige IP-Adressen beschränkt werden. Doch diese Maßnahmen bieten keinen hundertprozentigen Schutz vor Angriffen.
Kommentare