Router-Sicherheitslücken: Neue Bedrohung für Unternehmensnetzwerke

MÜNCHEN (IT BOLTWISE) – In einer zunehmend digitalisierten Welt, in der Unternehmensnetzwerke das Rückgrat moderner Geschäftsprozesse bilden, sind Sicherheitslücken in der Netzwerk-Infrastruktur zu einem kritischen Problem geworden. Eine aktuelle Kampagne von Cyberkriminellen, die gezielt Router in Unternehmen angreift, verdeutlicht die Dringlichkeit, mit der Sicherheitsmaßnahmen in diesem Bereich verstärkt werden müssen.

In den letzten Wochen hat eine hochentwickelte Hacker-Kampagne, die sich auf Unternehmensrouter konzentriert, an Intensität gewonnen. Diese Bedrohung zielt darauf ab, durch die Ausnutzung bisher unbekannter Schwachstellen in Routern einen dauerhaften Zugang zu Unternehmensnetzwerken zu erlangen. Sicherheitsforscher haben einen signifikanten Anstieg von Angriffen auf Netzwerk-Infrastrukturgeräte beobachtet, wobei der Schwerpunkt auf Routern liegt, die in den Bereichen Finanzdienstleistungen, Gesundheitswesen und Regierung eingesetzt werden.

Bereits in über 12 Ländern wurden Netzwerke kompromittiert, wobei Spanien, China und das Vereinigte Königreich die höchste Anzahl erfolgreicher Angriffe verzeichnen. Der typische Angriff beginnt mit der Ausnutzung ungepatchter Firmware-Schwachstellen in gängigen Routern, die es Angreifern ermöglichen, Authentifizierungsmechanismen zu umgehen. Einmal im System, setzen die Angreifer maßgeschneiderte Malware ein, die Kommando- und Kontrollfähigkeiten etabliert und gleichzeitig versucht, ihre Präsenz vor Standardüberwachungstools zu verbergen.

Besonders besorgniserregend ist die Fähigkeit der Angreifer, auch nach Firmware-Updates die Kontrolle zu behalten – eine Technik, die die Bemühungen der Sicherheitsteams, die Kontrolle über kompromittierte Geräte zurückzugewinnen, erheblich erschwert. Erste Analysen deuten darauf hin, dass diese Router-Kompromittierungen als Einstiegspunkt für laterale Bewegungen innerhalb von Unternehmensnetzwerken dienen, was zu Datenexfiltration, Ransomware-Einsätzen und in einigen Fällen zur vollständigen Übernahme des Netzwerks führt.

Die Kampagne scheint das Werk eines hochentwickelten Bedrohungsakteurs mit erheblichen Ressourcen zu sein, was die Komplexität der Exploits und die strategische Ausrichtung auf Organisationen in kritischen Sektoren nahelegt. Forscher von Forescout haben diesen beunruhigenden Trend durch ihre Analyse von Millionen von Geräten in der Forescout Device Cloud entdeckt. „Netzwerkgeräte – insbesondere Router – haben Endpunkte als risikoreichste Kategorie von IT-Geräten überholt“, bemerkte Vedere Labs von Forescout in ihrem kürzlich veröffentlichten Risikobewertungsbericht für 2025.

Die Ergebnisse zeigten, dass Router für alarmierende 50 % der Geräte mit den kritischsten Schwachstellen verantwortlich sind, was sie zu bevorzugten Zielen für hochentwickelte Bedrohungsakteure macht. Der Anstieg der auf Router abzielenden Angriffe fällt mit einem besorgniserregenden Wandel in der Nutzung von Netzwerkprotokollen in verschiedenen Branchen zusammen. Daten von Forescout zeigen eine verringerte Nutzung verschlüsselter SSH-Verbindungen, gepaart mit einer erhöhten Verwendung unverschlüsselter Telnet-Verbindungen – was insbesondere in Regierungsnetzwerken eine perfekte Sturm von Verwundbarkeit schafft, wo die Nutzung von Telnet von 2 % auf 10 % der Geräte gestiegen ist.

Der primäre Infektionsvektor nutzt eine Speicherbeschädigungsschwachstelle in der Web-Administrationsschnittstelle der betroffenen Router aus. Der Angriff beginnt mit einer speziell gestalteten HTTP-POST-Anfrage, die fehlerhafte Parameter enthält, die einen Pufferüberlauf im Authentifizierungsmodul des Routers auslösen. Dies ermöglicht es Angreifern, beliebigen Code mit erhöhten Rechten auszuführen. Nach erfolgreicher Ausnutzung stellt die Malware die Persistenz her, indem sie die Bootloader-Konfiguration des Routers ändert.

Die Malware erstellt dann eine versteckte Partition im Firmware-Speicherbereich, die es ihr ermöglicht, Werkseinstellungen und Firmware-Updates zu überstehen. Sie überwacht kontinuierlich Verwaltungssitzungen und fängt Konfigurationssicherungen ab, um zusätzlichen Code einzufügen, der eine erneute Infektion sicherstellt, falls der ursprüngliche Kompromiss entdeckt wird. Dieser ausgeklügelte Persistenzmechanismus funktioniert über mehrere Routermodelle hinweg und zeigt ein alarmierendes Maß an technischer Expertise, das auf eine Beteiligung von Nationalstaaten oder hochorganisierten Cyberkriminellen hindeutet.

Sicherheitsteams sollten sofort ihre Netzwerk-Infrastruktur auf anfällige Geräte überprüfen, Netzwerksegmentierung implementieren, um Router-Management-Schnittstellen zu isolieren, verschlüsselte Verbindungen für alle administrativen Aktivitäten erzwingen und kontinuierliche Überwachungslösungen einsetzen, die in der Lage sind, anomales Verhalten in Netzwerkgeräten zu erkennen. Da Router-Schwachstellen nun die bedeutendste Bedrohung für die Unternehmenssicherheit darstellen, müssen Organisationen ihre Bemühungen zur Behebung entsprechend priorisieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

2.002 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen