Schwachstellen in Internet Routern sind schon lange keine Neuheit mehr. Dennoch gibt es immer wieder Router, welche durch Hacker mittels Schwachstellen und Malware übernommen werden und die IT Sicherheit der ganzen Unternehmung gefährden. Der Router ist neben der Firewall das Bindeglied zwischen dem Internet und dem internen IT Netzwerk. Um die IT Sicherheit zu gewährleisten und geschützt vor Malware wie Ransomware, dem Mitlesen der Übertragung und Manipulieren der übertragenen Daten zu sein, ist ein Router ohne Schwachstellen und Angriffsfläche zwingend nötig. Die neue Malware VPNfilter infiziert Router über verschiedenste Schwachstellen und installiert sich dann als Malware auf dem Router selbst. Dies ist für die IT Sicherheit eines KMUs ein grosses Problem, da die Malware über verschiedenste Wege Daten sammelt oder manipuliert. Sogar Ransomware auf den vermeintlich geschützten internen Clients kann durch VPNfilter installiert werden. Die Malware ist so weite entwickelt, dass es verschlüsselten Verkehr zu nicht verschlüsselter Übertragung umleitet. Dadurch können Passwörter, Kreditkarten Nummer, etc. durch die Malware ungehindert mitgelesen werden. Neben dem Mithören kann die Malware ebenfalls Daten in den ganzen Datenstrom einbinden. Zum Beispiel Malware in eine vertrauenswürdige Verbindung zu einer bekannten Webseite einspielen und diese wird dann auf den Clients ausgeführt. Dies kann eine Ransomware, welche die Daten verschlüsselt oder ein Trojaner sein, welche einen Remote Zugang ermöglicht oder auf dem Client alle Eingaben und Übertragungen mitliest und die interessanten Daten zu den Hackern sendet. VPNfilter ist ebenfalls gegen einen Reboot des Routers immun und ein spezieller Mechanismus erschwert das Erkennen und Entfernen dies Malware. Zudem kann es sich selbständig entfernen und verwischt so seine Spuren oder sogar den ganzen Router unbrauchbar machen, indem er alle Daten auf dem Router löscht. Ein Selbstzerstörungsmechanismus.
Swiss Vulnerability Report
Die First Security führt jährlich seit über 5 Jahren die Inventarisierung des Schweizer Internet mit knapp 20 Millionen IP-Adressen durch. Dabei wurden dieses Jahr knapp 18’000 Router identifiziert, welche Administrationszugang aus dem Internet und somit auch Angriffsfläche anbieten. Von diesen Routern sind 13%, dies entspricht 2’242 Router, auf VPNfilter Malware anfällig. 2’200 KMUs, welche überwacht und infiltriert werden können, ohne dass man dies bemerkt.
Massnahmen
Als Gegenmassnahme hilft als Erstes die Angriffsfläche zu verringern. Was nicht über das Internet angesprochen werden kann, ist auch nicht so einfach zu hacken. Wie findet man die eigene Angriffsfläche heraus? Am einfachsten mit einer Analyse der IT Infrastruktur. Diese kann automatisiert erfolgen und zeigt das Inventar als ersten Schritt auf und als Zweiten die ausnutzbaren Schwachstellen. Administrationszugänge zu Routern und auch anderen Netzwerkgeräten sowie Servern sollten nicht direkt im Internet ansprechbar sein. Wenn es wirklich nötig ist, dann über gesicherte Verbindungen wie ein VPN. Die Zweite Massnahme ist die Systeme aktuell zu halten, dass bekanntgewordene Schwachstellen durch Patches geschlossen werden. Bei Servern und Client funktioniert dies mittlerweile recht gut. Geräte, welche den Benutzern in KMUs nicht direkt bewusst sind, teilweise gar nicht wissen, dass diese existieren und dann sogar noch in der eigenen IT Infrastruktur, werden deswegen nie aktualisiert. Schwachstellen, welche seit Jahren bekannt sind, führen zum Einfallstor der Malware. Dies kann verhindert werden, indem man die IT Sicherheit mit einer IT Schwachstellen Analyse, welche regelmässig automatisiert und vollumfänglich die IT prüft, unterstützt. Dieses Wissen führt zu den richtigen Entscheidungen, welche nicht nur die IT Sicherheit erhöht, sondern auch die Ressourcen optimal einsetzt.
