Die US-Sicherheitsbehörde ICS-CERT und der Hersteller Sierra Wireless warnen davor, dass das DDoS-Tool Mirai es nun auf einige Mobilfunk-Gateways des Herstellers abgesehen hat. Der Angriff geschieht nicht über eine Sicherheitslücke wie die uralte OpenSSH-Lücke in vielen IoT-Geräten, was vorige Woche bekannt wurde.

Mirai nutze stattdessen eine andere Schwachstelle, nämlich dass alle Gateways mit dem gleichen Default-Passwort, das offenbar viele Admins nicht ändern, ausgeliefert werden, wie die ICS-CERT berichtet.

Die Modelle LS300, GX400, GX/ES440, GX/ES450 und RV50, allesamt Gateways der AirLink-Reihe, die per Mobilfunk etwa von Sensoren lokale Netze zugänglich machen, seien betroffen. Mirai findet die Gateways und setzt sich im RAM des Geräts fest, sofern diese ohne VPN oder ähnlichen Schutz im Internet erreichbar sind. Das Gerät steht damit nicht nur selbst für DDoS-Angriffe bereit, Mirai bekommt außerdem noch Zugriff auf das dahinter liegende Netz und kann es nach weiteren anfälligen Geräten durchforsten.

Befallene Gateways können laut ICS-CERT an Aktivität auf Port 48101/TCP, über den der Kontakt zum Botnet-Controller stattfindet sowie an ungewöhnlicher Aktivität auf Port 23/TCP, über den es nach weiteren verwundbaren Geräten sucht, erkannt werden. Die Abhilfe ist trivial, da Admins das Gerät lediglich neu starten und ein anderes Passwort vergeben müssen. Die ICS-CERT liefert weitere Details.

Nicht so trivial: Das dahinter liegende LAN müssen sie ebenfalls auf infizierte Geräte untersuchen und entsprechend ebenfalls bereinigen.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE