SchwachstellenIoT-SicherheitCyberkriminalität

TP-Link-Router: Hacker scheitern seit einem Jahr an Sicherheitslücke

TP-Link-Router: Hacker scheitern seit einem Jahr an Sicherheitslücke
Zusammenfassung

Seit über einem Jahr versuchen Cyberkriminelle, eine kritische Sicherheitslücke in veralteten TP-Link-Routern auszunutzen – bislang allerdings ohne Erfolg. Die als CVE-2023-33538 katalogisierte Schwachstelle betrifft mehrere ältere Modelle wie die TL-WR940N, TL-WR740N und TL-WR841N und ermöglicht durch mangelhafte Eingabevalidierung eine Befehlsinjektion, die theoretisch zur vollständigen Übernahme des Geräts führen könnte. Obwohl Proof-of-Concept-Code bereits seit drei Jahren öffentlich verfügbar ist und die US-Behörde CISA die Lücke im Juni vergangenen Jahres in ihren Katalog exploitierter Sicherheitslücken aufnahm, zeigen Analysen von Palo Alto Networks, dass Angreifer bei ihren Versuchen systematisch scheitern. Sie nutzen fehlerhafte Exploit-Code-Versionen, authentifizieren sich nicht korrekt und setzen auf Tools, die in den Geräten gar nicht vorhanden sind. Für deutsche Nutzer und Unternehmen ist dies insofern relevant, als diese veralteten Router vielerorts noch immer in Betrieb sind. Obwohl die aktuelle Angriffsaktivität bislang erfolglos bleibt, unterstreicht der Fall die Gefahr von Netzwerk-Peripherie-Geräten, die nicht mehr gepflegt werden – und die Notwendigkeit, solche Systeme schnellstmöglich auszutauschen.

Die Sicherheitslücke CVE-2023-33538 ermöglicht es Angreifern theoretisch, über manipulierte HTTP-GET-Requests Kommandos auf den betroffenen Routern auszuführen. Das Problem liegt in einer fehlenden Validierung des Parameters “ssid1”, die eine Befehlsinjektion ermöglicht und potenziell zu beliebigen Systembefehlen führt. Betroffen sind die TP-Link-Modelle TL-WR940N (v2 und v4), TL-WR740N (v1 und v2) sowie TL-WR841N (v8 und v10) – alle mittlerweile eingestellte Produkte.

Bemerkenswert ist, dass trotz jahrelanger Attackenversuche kein erfolgreicher Payload-Start dokumentiert wurde. Palo Alto Networks hat die Angriffsmuster analysiert und mehrere kritische Fehler in der Exploit-Implementierung identifiziert: Hacker versuchten, die Schwachstelle ohne vorherige Authentifizierung auszunutzen, zielten auf den falschen Parameter ab und setzten auf ein Dienstprogramm, das in den betroffenen Routern gar nicht vorhanden ist.

Die Angreifer verwendeten dabei Malware-Payloads, die dem Mirai-Botnet ähneln und speziell auf das Condi-IoT-Botnet basierten. Ziel war es, die infizierten Geräte in HTTP-Server zu verwandeln, die Malware-Dateien an andere kompromittierte Geräte verteilen könnten. Diese Strategie zeugt von organisierten Angriffsmustern, scheitert aber offenbar an der praktischen Umsetzung.

Die US-amerikanische Cybersicherheitsbehörde CISA hatte die Schwachstelle bereits im Juni des Vorjahres in ihren Katalog der bekannten, in der Praxis ausgebeuteten Lücken aufgenommen und forderte Bundesbehörden auf, diese veralteten Geräte sofort abzuschalten. Dies unterstreicht die ernsthafte Bedrohung, die von diesen Legacy-Produkten ausgeht.

Für Privatnutzer und Unternehmens-IT in Deutschland bedeutet dies: Wer noch solche älteren TP-Link-Router nutzt, sollte diese baldmöglichst durch aktuelle Modelle ersetzen. Zwar zeigt sich, dass aktuelle Angriffsumsetzungen fehlerhaft sind, doch ist es nur eine Frage der Zeit, bis Cyberkriminelle ihre Exploit-Code perfektionieren. Sicherheitsexperten warnen generell davor, End-of-Life-Geräte im produktiven Betrieb zu belassen – nicht nur wegen dieser einen Lücke, sondern weil keine Sicherheits-Updates mehr bereitgestellt werden.

Ähnliche Artikel