Sicherheitslücke in Wireless-SoCs von Realtek im Fokus. Es soll bereits Millionen Angriffe in Deutschland gegeben haben.
Ende 2022 haben Sicherheitsexperten von Palo Alto Networks circa 134 Millionen Cyberattacken auf IoT-Geräte und Router mit Wireless-SoCs von Realtek festgestellt. Dabei sind unter anderem Router von Asus, Belkin, D-Link, Netgear und Zyxel betroffen. Die Cyberangriffe gingen vermutlich von mehreren Botnetzen wie Mozi, Mirai und Gafgyt aus.
Schadcode Sicherheitslücke
Wie aus einer Meldung der Sicherheitsexperten hervorgeht, nutzen die Cyberkriminellen eine kritische Schwachstelle (CVE-2022-35394), die seit Sommer 2021 bekannt ist. Die spezifische Sicherheitslücke befindet sich im UDP-Server im Realtek Jungle SDK Version 2.0 bis 3.4.14B.
Die Hacker können die Sicherheitslücke mit präparierten Datenpaketen und ohne Authentifizierung ausnutzen, da die Datenpakete angesichts einer unzureichenden Validierung genehmigt werden. Infolgedessen könne die Cyberkriminellen DoS-Zustände herbeiführen und überdies Schadcode ausführen.
IoT-Lieferketten-Schwierigkeiten
Die Schwachstelle betrifft schätzungsweise 190 IoT-Modelle von 66 Herstellern. In einer ursprünglichen Warnmeldung erfolgte eine Auflistung aller betroffenen Geräte. Bereits seit Sommer 2021 sind Sicherheitspatches von Realtek vorhanden.
Doch aufgrund der Tatsache, dass viele Geräte die betroffene Wireless-SoCs einsetzen, ist eine flächendeckende Verbreitung kompliziert. Auch wenn die Sicherheitspatches seit geraumer Zeit verfügbar sind, gibt es keine Garantie, dass Endverbraucher sie tatsächlich installieren.
Globale Cyberattacken
Sicherheitsexperten teilte mit, dass Cyberangriffe ab August 2022 festgestellt und dokumentiert wurden. Knapp die Hälfte der Attacken soll in den USA stattgefunden haben. In Deutschland habe es circa 3 Millionen Cyberangriffe gegeben.
Besitzer eines betroffenen Gerätes, sollten umgehend die Software updaten. Falls keine Updates mehr zur Verfügung stehen, da der Support das Produkt nicht mehr betreut, sollten sich Nutzer eine neue Hardware kaufen, um Risiken zu minimieren. Des Weiteren sollte man überprüfen, ob es zwingend notwendig ist, dass die jeweilige Hardware aus dem Internet zugänglich ist. Ist das nicht der Fall, kann durch Trennen der Internetverbindung die mögliche Angriffsfläche erheblich reduziert werden.