Der Mittelstand ist Deutschlands Erfolgsfaktor, Motor und internationales Aushängeschild. Auf ihn entfallen rund 61 Prozent der gesamten Netto-Wertschöpfung und er stellt mehr als die Hälfte der Arbeitsplätze in Deutschland. Genau diese Bilanz macht mittelständische Unternehmen so attraktiv für Cyber-Kriminelle. Und auch die neueste Entdeckung einer Schwachstelle in Routern von DrayTek zeigt, es gibt wohl kaum ein Unternehmen, das nicht von der steigenden Cyber-Kriminalität betroffen ist.
Zero-Day-Sicherheitslücke in DrayTek-Routern
Das Trellix Threat Labs Vulnerability Research Team hat die Schwachstelle CVE-2022-32548 für die nicht authentifizierte Remotecodeausführung entdeckt, die gleich mehrere DrayTek-Router betrifft. Hacker können sich ohne Benutzerinteraktion und Authentifizierung aus dem Netz Zugriff verschaffen. Ein Angriff kann zu einer vollständigen Kompromittierung des Geräts führen, was wiederum eine Beeinträchtigung des Netzwerks und einen nicht autorisierten Zugriff auf interne Ressourcen und Daten zur Folge haben kann.
Kein Einzelfall: SOHO-Router sind beliebtes Ziel
Warum ist eine weitere Sicherheitslücke in einem SOHO-Router von Bedeutung? Weil 360Netlab Threat Detection System im Jahr 2019 zwei verschiedene Angriffsgruppen beobachtete, die zwei Zero-Day-Sicherheitslücken für verschiedene DrayTek Vigor Enterprise-Router nutzten. Weil Barracuda im März 2022 berichtete, dass kleine Unternehmen dreimal häufiger von Cyber-Kriminellen angegriffen werden als größere Unternehmen. Weil erst im vergangenen Monat beobachtet wurde, dass die ZuoRAT-Malware zahlreiche SOHO-Router-Hersteller infiziert, darunter ASUS, Cisco, DrayTek und NETGEAR. Kurz gesagt, die Aufdeckung von Schwachstellen in SOHO-Routern ist wichtig, weil sie viele Unternehmen und kritische Infrastrukturen betreffen und großen Schaden anrichten können.
Edge-Geräte selbst, wie Router und Firewalls, sind für Hacker von Interesse, da diese Geräte Zugriff auf sensible Daten ermöglichen. Sobald sie kompromittiert sind, sind sie das offene Tor zum Rest des Unternehmensnetzwerks. Ein kompromittiertes Edge-Gerät kann zum Diebstahl von geistigem Eigentum, Verlust sensibler Kunden- oder Mitarbeiterdaten, Zugriff auf Kamera-Feeds und zum einfacheren Einsatz von Ransomware führen sowie in einigen Fällen zu einer jahrelangen Schädigung in einem Netzwerk.
Für SOHO- und SMB-Nutzer ist es von entscheidender Bedeutung, ihre Netzwerke gut zu verstehen, alle Hersteller-Patches auf dem neuesten Stand zu halten und Sicherheitsverstöße sofort den Strafverfolgungsbehörden zu melden. Zusätzlich stärkt die Unterstützung von Sicherheitsaudits durch Dritte, wie die aktuelle DrayTek Untersuchung von Trellix, die gesamte Branche.
DrayTek-Schwachstelle behoben
Wir bedanken uns bei DrayTek für die Unterstützung unserer Studie, die deutlich zeigt, dass Sicherheit für das Unternehmen oberste Priorität hat und es sich für den Schutz des SOHO-Marktes einsetzt. Für alle betroffenen Modelle stellt DrayTek eine gepatchte Firmware auf der Website zum Download bereit.