Die Bedeutung eines sicheren Heimnetzwerks wird in der heutigen digitalisierten Welt immer wichtiger, besonders da immer mehr Geräte über das Internet kommunizieren. Gerade Router fungieren als zentrale Drehscheibe zwischen dem lokalen Netzwerk und dem Internet und müssen deshalb besonders gut geschützt sein. Aktuelle Berichte von Sicherheitsforschern haben aufgedeckt, dass Tausende von ASUS-Routern von einer besonders hartnäckigen Sicherheitslücke betroffen sind. Diese sogenannten Backdoors ermöglichen es Angreifern, sich Zugang zu Geräten zu verschaffen, ohne Malware einsetzen zu müssen. Die beunruhigende Erkenntnis dabei ist, dass diese Backdoors selbst durch Neustarts oder übliche Firmware-Updates nicht entfernt werden können und somit eine langanhaltende Bedrohung darstellen.
Die betroffene Anzahl an Geräten beträgt laut den Untersuchungen über 9000 ASUS-Router verschiedenster Modelle. Zu den Besonderheiten dieser Sicherheitslücke gehört, dass die Angreifer legitime Funktionen innerhalb des Routers ausnutzen und bekannte Schwachstellen, um sich persistierten Zugang zu verschaffen. Persistenz bedeutet hierbei, dass die Attacken selbst nach einem Firmware-Update weiterhin bestehen bleiben. Dies stellt eine große Herausforderung für Nutzer und Administratoren dar, da das Nachinstallieren von Updates üblicherweise als Schutzmaßnahme gegen Sicherheitslücken gilt. Die Untersuchungen wurden unter anderem von Sicherheitsexperten des in der Cyber-Sicherheitsbranche renommierten Forschungsunternehmens GreyNoise durchgeführt.
Sie entdeckten die Angriffe mit Hilfe eines KI-basierten Werkzeugs namens Sift, das unregelmäßige Netzwerkaktivitäten analysiert und so ungewöhnliche Muster erkennt. Die Angreifer nutzen dabei aus, dass viele Router mit Standardkonfigurationen ausgeliefert werden, bei denen Zugangsdaten häufig nicht ausreichend geändert oder abgesichert sind. Dies ermöglicht erste Möglichkeiten zur Infiltration. Ein wichtiger Aspekt bei diesen Angriffen ist die Verwendung von nicht-malwarebasierten Backdoors. Ein solcher Backdoor öffnet heimlichen Zugang zu einem System, ohne dass eine Software mit bösartigem Code wie Viren oder Trojaner direkt installiert wird.
Stattdessen verwenden die Angreifer legitime Features des Routers selbst, etwa offene SSH-Zugänge (Secure Shell), die sich auf bestimmten Netzwerkports befinden. Im untersuchten Fall wurde der Port TCP/53282 missbraucht. Ein Rückschluss daraus ist, dass herkömmliche Antivirenprogramme oder Malware-Scanner diese Form des Zugangs nicht erkennen können, da technisch keine Schadsoftware im klassischen Sinne hinterlegt ist. Die Angriffsmethoden bestehen unter anderem aus Credential-Brute-Forcing, also der automatisierten Ausprobierung von Benutzername- und Passwort-Kombinationen, sowie der Ausnutzung von Authentifizierungs-Bypass-Schwachstellen. Diese bypass-Schwachstellen erlauben es Angreifern, sich ohne gültige Zugangsdaten zu authentifizieren, indem sie Fehler in der Software ausnutzen, die Login-Prozesse manipulieren.
Zum Beispiel wurde eine Methode beobachtet, bei der ein spezielles Cookie namens „asus_token“ mit einem Nullbyte versehen wurde, um die Passwortprüfung vorzeitig abzubrechen und so das System zu täuschen. Einige der Schwachstellen, die hierbei ausgenutzt wurden, sind bereits bekannt und für bestimmte Modelle dokumentiert. Sekoia.io, ein weiteres Sicherheitsteam, stellte fest, dass etwa das ASUS GT-AC2900 und Lyra Mini Modelle von einem Authentication-Bypass mit der CVE-2021-32030 betroffen sind. Dennoch fehlen oftmals offizielle CVEs oder wurden nur spät vergeben, was die schnelle Sicherheitsbewertung erschwert.
Ebenfalls bemerkenswert ist die Ausnutzung des CVE-2023-39780, einer Command-Injection-Schwachstelle, die speziell ASUS RT-AX55 Router betrifft. Dabei wird eine eingebaute Funktion namens Bandwidth SQLite Logging (BWSQL) aktiviert, welche eigentlich dazu dient, den Netzwerkverkehr zu protokollieren. Allerdings macht der von den Angreifern manipulierte Code diese Funktion zu einem Werkzeug, über das beliebige Kommandos ausgeführt werden können. Dies erweitert den möglichen Schaden erheblich und erlaubt es Angreifern, Ihr Gerät weitreichend zu kontrollieren. Die Persistenz dieser Backdoors ergibt sich daraus, dass die Manipulationen nicht auf dem eigentlichen Speicher (Flash-Speicher), auf dem Firmware gespeichert wird, liegen, sondern in nichtflüchtigem Arbeitsspeicher, dem sogenannten NVRAM (Non-Volatile Random Access Memory).
Dieser Speicherbereich wird auch durch Neustarts oder Firmware-Updates nicht gelöscht, was bedeutet, dass ein kompromittierter Router auch nach scheinbaren Schutzmaßnahmen weiterhin unter Kontrolle der Angreifer steht. Für betroffene Nutzer ist dies eine schwere Warnung, denn scheinbar einfache Aktionen wie das Aktualisieren der Firmware – die eigentlich ein empfohlenes Mittel zum Schutz vor Sicherheitslücken darstellen – beseitigen das Problem nicht. Stattdessen wird ausdrücklich empfohlen, den betroffenen Router auf die Werkseinstellungen zurückzusetzen. Dies muss sorgfältig und manuell erfolgen, da der Backdoor-Zugang speziell aufrechterhalten wird und nicht automatisch gelöscht wird. Darüber hinaus sollten Nutzer jedes SSH-Zugangsrecht sorgfältig überprüfen, insbesondere die Datei „authorized_keys“, in der Zugriffsrechte auf das Gerät gespeichert sind.
Neben individuellen Maßnahmen herrscht auch ein dringender Handlungsbedarf auf organisationaler Ebene. Unternehmen und Netzwerke, die ASUS-Router einsetzen, sollten nicht nur die Geräte aktualisieren, um bekannte Schwachstellen zu schließen, sondern auch verdächtige IP-Adressen, die in den Berichten von GreyNoise und Sekoia.io aufgelistet sind, blockieren. Eine umfassende Netzwerküberwachung kann helfen, untypische Aktivitäten frühzeitig zu erkennen und Angriffe zu unterbinden. Die Gefahrenlage zeigt erneut, wie wichtig es ist, dass Hersteller von Netzwerkhardware Sicherheitslücken zügig identifizieren, dokumentieren und patchen – und das auch für ältere, etablierte Modellreihen.
Zugleich sollten Nutzer kritisch prüfen, ob Geräte korrekt konfiguriert sind, insbesondere was Zugangsdaten und offene Netzwerkports betrifft. Standardpasswörter oder ungenügend gesicherte Verwaltungsoberflächen sind häufig der Grundstein für erfolgreiche Attacken. Zusätzlich verdeutlicht der Fall, dass Sicherheitslücken auf der Hintergrund-Ebene, also solche, die Firmware und persistenten Speicher ausnutzen, besonders hartnäckig sind und neue Schutzkonzepte nötig machen. Security-Teams und Hersteller arbeiten aktuell daran, solche Schwachstellen bei künftigen Geräten besser zu adressieren und auch nachträgliche Updates wirksamer zu gestalten. Router als Netzwerk-Knotenpunkt werden immer wieder Ziel von Cyberkriminellen, die daraus Botnets und andere illegale Infrastrukturen aufbauen.
