ISPs infiltriert: Zero Day seit Monaten ausgenutzt
Angreifer nisten sich zuerst in Kundenroutern, dann bei ISPs direkt ein. Erst einmal greifen sie Kundenpasswörter ab.
Symbolbild
(Bild: momente/Shutterstock.com)
Eine Sicherheitslücke der Netzwerksoftware Versa Director (CVE-2024-39717) wird stärker ausgenutzt als zunächst bekannt. Bei mindestens drei Internet Service Providern (ISP) in den USA und einem außerhalb des Landes haben sich Angreifer eingenistet, um Kundenlogins und Passwörter im Klartext abzufangen, bevor sie gehasht und beim ISP gespeichert werden. Das berichten Sicherheitsforscher Lumens, die den Angriff halbwegs sicher (moderate confidence) Volt Typhoon zuschreiben.
Volt Typhoon steht im Sold der chinesischen Regierung. Die Volksrepublik China erkennt in Volt Typhoon zwar eine kriminelle Bande, stellt jegliche Verbindung mit dieser aber in Abrede.
Der modus operandi beginnt laut Lumens Auswertung mit der Ausnutzung diverser ungepatchter Sicherheitslücken in Internetroutern in Wohnungen oder kleinen Büros. Diese dienen fortan als relativ unauffällige Proxys für Verbindungen zur Infrastruktur des jeweiligen ISP. Über Port 4566 wird kurz der Versa Director angesprochen. Gelingt dies, kann der Angreifer den Versa Director kompromittieren.
Installiert wird dann eine Web Shell, die Lumen VersaMem getauft hat. Sie ist modular aufgebaut und kann beliebige Java-Schadroutinen nachladen. Um weniger aufzufallen, laufen diese im Arbeitsspeicher. Beobachtet hat Lumen bisher nur ein Modul: Es erkennt, wenn ein ISP-Kunde auf der Webseite des Unternehmen Username und Passwort festlegt und greift diese im Klartext ab, bevor der ISP den Passwort-Hashwert abspeichert.
Patches + Firewall, bitteschön
Der Angriff schlägt fehl, wenn die Versa-Patches installiert wurden oder wenn Port 4566 von Kundenroutern aus nicht erreichbar ist. Für Letzteres empfiehlt Versa bereits seit Jahren passende Firewall-Einstellungen und Systemhärtungen. Offenbar haben nicht alle ISP diese Instruktionen befolgt.
Lumen hält die Angriffe für hochrelevant. Die Täter wollen sich offenbar langfristig in Kritischer Infrastruktur einnisten. Die Passwortsammlung könnte im Krisenfall, beispielsweise falls China Taiwan überfallen sollte, dazu genutzt werden, in den USA Chaos auszulösen, indem mit korrekten Kundenpasswörtern Internetanschlüsse en masse deaktiviert werden.
(ds)
