Das Cyclops-Blink-Botnet der russisch-staatlichen Cybergang Sandworm greift inzwischen Router von Asus an. Der Hersteller untersucht derzeit die Situation und veröffentlicht Firmware-Updates, die potenziell für Angriffe genutzte Sicherheitslücken schließen. Außerdem sollen Konfigurationsanpassungen helfen, erfolgreiche Angriffe abzuwehren. Zuletzt waren WatchGuard-Firewalls im Fokus von Cyclops-Blink. Schon da warnte die US-amerikanische Sicherheitsbehörde CISA, dass die modulare und fortschrittliche Botnet-Malware sich auch für andere Router und Firmwares kompilieren lasse. Um die Geräte abzusichern, empfiehlt der Hersteller folgende Sicherheits-Checkliste abzuarbeiten:
- Rücksetzen des Geräts auf den Werkszustand: Dazu sollen Administratoren sich an dem Web-Interface unter http://router.asus.com/ anmelden und unter „Administration“ – „Restore/Save/Upload Setting“ – „Initialize all the setting and clear all the data log“ auswählen und schließlich mit der „Restore“-Schaltfläche bestätigen.
- Die aktuelle Firmware einspielen
- Sicherstellen, das Standardpasswort durch ein sicheres zu ersetzen
- Deaktivieren der Fernwartung – das ist der Standardwert, der nur in den erweiterten Einstellungen änderbar ist
Betroffen sind laut Asus‘ Sicherheitsmeldung die Geräte GT-AC5300, GT-AC2900, RT-AC5300, RT-AC88U, RT-AC3100, RT-AC86U, RT-AC68U, AC68R, AC68W, AC68P, RT-AC66U_B1, RT-AC3200, RT-AC2900 und RT-AC1900P mit einerm Firmware-Stand vor der aktuellen Fassung 3.0.0.4.386.xxxx. Ebenfalls anfällig sind die Router RT-AC87U, RT-AC66U und RT-AC56U. Dafür gibt es jedoch keine aktualisierte Firmware mehr, da sie ihr End-of-Lifecycle (EOL) erreicht haben und damit aus dem Support rausfallen. Asus weist darauf hin, dass weitere Geräte im Zuge der Untersuchungen ergänzt werden. Die aktualisierte Firmware stellt Asus im Support-Bereich zur Verfügung. Betroffene können den Router-Namen in die Gerätesuche der Download-Seite eingeben, neben dem Gerät den Link „Driver & Utiltity“ in der Ergebnisliste auswählen und finden die neue Fassung unter „Bios & Firmware“. Wenn ein Firmware-Update nicht möglich ist, empfiehlt Asus zum Schutz vor Befall mit Cyclops-Blink, die Fernwartung wie in der Sicherheits-Checkliste beschrieben auf dem WAN-Interface abzuschalten und die Einstellungen auf Werkseinstellungen zurückzusetzen.