{"id":26878,"date":"2021-06-02T16:43:26","date_gmt":"2021-06-02T14:43:26","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26878"},"modified":"2022-04-07T13:00:55","modified_gmt":"2022-04-07T11:00:55","slug":"rsa2021-hijacked-router","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rsa2021-hijacked-router\/26878\/","title":{"rendered":"Router sind eine Schwachstelle im Remote-Arbeitsmodell"},"content":{"rendered":"

Aus der Perspektive der Cybersicherheit z\u00e4hlt beim Wechsel zum Remote-Arbeitsmodell der Verlust an Kontrolle \u00fcber die lokalen Netzwerkumgebungen der Workstations zu den negativsten Aspekten. Diesbez\u00fcglich sind besonders die Heimrouter der Mitarbeiter gef\u00e4hrlich, die im Wesentlichen die Netzwerkinfrastruktur ersetzt haben, die normalerweise von IT-Spezialisten kontrolliert wird. Auf der RSA Conference 2021<\/a> berichteten die Forscher Charl van der Walt und Wicus Ross in der Diskussionsrunde \u201eAll your LAN are belong to us.<\/a> Managing the real threats to remote workers.\u201c (Ihr komplettes LAN geh\u00f6rt uns. Die echten Bedrohungen f\u00fcr Remote-Mitarbeiter im Griff haben.)<\/a> dar\u00fcber, wie Cyberverbrecher Unternehmenscomputer \u00fcber Router angreifen k\u00f6nnen.<\/p>\n

Warum Heimrouter von Mitarbeitern problematisch sind<\/h2>\n

Selbst wenn im Rahmen der Sicherheitsrichtlinien eines Unternehmens die Aktualisierungen der Betriebssysteme der Computer und alle anderen wichtigen Einstellungen durchgef\u00fchrt werden, entgleiten Heimrouter trotzdem der Kontrolle der Systemadministratoren des Unternehmens. Bei Remote-Work-Umgebungen k\u00f6nnen IT-Spezialisten nicht wissen, welche anderen Ger\u00e4te mit dem Netzwerk verbunden sind. Sie wissen auch nicht, ob die Firmware des Routers aktualisiert ist und ob starke Passw\u00f6rter verwendet werden (eventuell hat der Benutzer nicht einmal das Standard-Passwort ge\u00e4ndert).<\/p>\n

Die fehlende Kontrolle ist nur ein Teil des Problems. Router f\u00fcr zu Hause und SOHO-Router (Small- und Home-Office-WLAN-Router) haben bekannte Schwachstellen, die von Cyberkriminellen ausgenutzt werden k\u00f6nnen, um die Kontrolle \u00fcber das Ger\u00e4t zu \u00fcbernehmen und damit riesige IoT-Botnetze zu erstellen, wie beispielsweise Mirai<\/a>. Botnetze k\u00f6nnen aus zehntausenden und sogar hunderttausenden gehackten Routern bestehen, die f\u00fcr verschiedene Zwecke verwendet werden.<\/p>\n

In diesem Zusammenhang ist wichtig zu beachten, dass jeder Router im Grunde genommen ein kleiner Computer ist, der \u00fcber eine Linux-Distribution verf\u00fcgt. Mit einem gehackten Router k\u00f6nnen Cyberverbrecher so einiges anstellen. Folgend finden Sie einige anschauliche Beispiele aus dem Bericht der Forscher:<\/p>\n

Gehackte VPN-Verbindungen<\/h2>\n

Die meisten Unternehmen setzen auf VPN (kurz f\u00fcr Virtuelles privates Netzwerk), um die unsichere Netzwerkumgebung von Remote-Mitarbeitern wettzumachen. VPNs bieten einen verschl\u00fcsselten Kanal, der zur Daten\u00fcbertragung zwischen dem Computer und der Unternehmensinfrastruktur dient.<\/p>\n

Der Kanal wird allerdings von Unternehmen, abgesehen von der VPN-Nutzung, auch noch f\u00fcr andere Zwecke genutzt (Split-Tunneling): Der Datenverkehr zwischen dem Computer und dem Unternehmensserver, mit beispielsweise einer RDP-Verbindung (Remote Desktop Protocol), l\u00e4uft \u00fcber das VPN und der restliche Datenverkehr l\u00e4uft \u00fcber das \u00f6ffentliche Netzwerk und das ist in der Regel auch okay. Allerdings kann ein Cyberverbrecher, der die Kontrolle \u00fcber den Router hat, das Kommunikationsprotokoll Dynamic Host Configuration Protocol (DHCP) erstellen und den RDP-Datenverkehr an seinen eigenen Server weiterleiten. Auch wenn der Verbrecher damit nicht das VPN entschl\u00fcsseln kann, kann er eine gef\u00e4lschte Anmeldeseite erstellen, um die Zugangsdaten f\u00fcr die RDP-Verbindung abzufangen. Ransomware-Betr\u00fcger benutzen RDP sehr gerne<\/a>.<\/p>\n

Ein externes Betriebssystem hochladen<\/h2>\n

Ein weiterer cleverer Angriff mithilfe eines gehackten Routers besteht darin, die PXE-Funktionalit\u00e4t (Preboot Execution Environment) auszunutzen. Moderne Netzwerkadapter verwenden PXE, um Betriebssysteme \u00fcber das Netzwerk auf Computer zu laden. Diese Funktionalit\u00e4t ist normalerweise deaktiviert, aber manche Unternehmen verwenden sie, um beispielsweise das Betriebssystem eines Mitarbeiters wiederherzustellen, wenn es nicht mehr richtig funktioniert.<\/p>\n

Ein Cyberverbrecher, der die Kontrolle \u00fcber den DHCP-Server im Router hat, kann dem Netzwerkadapter einer Workstation eine Adresse von einem modifizierten System f\u00fcr die Fernsteuerung angeben. Der Mitarbeiter wird h\u00f6chstwahrscheinlich nichts merken und ganz bestimmt nicht wissen, was da gerade vor sich geht, besonders wenn er mit den Benachrichtigungen zur Update-Installation abgelenkt wird. W\u00e4hrenddessen haben die Cyberkriminellen uneingeschr\u00e4nkten Zugriff auf das Dateisystem.<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n

Mit den folgenden Ma\u00dfnahmen k\u00f6nnen Sie die Computer von Mitarbeitern vor den oben erkl\u00e4rten und \u00e4hnlichen Angriffen sch\u00fctzen:<\/p>\n