Security

Check Point warnt vor Backdoor „Horse Shell“

Vorsicht bei Firmware für TP-Link-Router

19.05.2023
Von 
Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Alle Artikel des Autors
Email: Connect:
Bei der Untersuchung von Cyberangriffen auf europäische Einrichtungen für auswärtige Angelegenheiten entdeckte Check Point Research (CPR) ein bösartiges Firmware-Implantat für einen TP-Link-Router. Es enthält unter anderem die Backdoor „Horse Shell“.
Check Point Research warnt vor einem gefährlichen Firmware-Implantat für WLAN-Router von TP-Link. Betroffen ist das Modell TL-WR940N.
Check Point Research warnt vor einem gefährlichen Firmware-Implantat für WLAN-Router von TP-Link. Betroffen ist das Modell TL-WR940N.
Foto: TP-Link

Check Point Research (CPR) hat Cyberangriffen auf Einrichtungen europäischer Staaten für auswärtige Angelegenheiten untersucht. Die Sicherheitsforscher führen sie auf die vom chinesischen Staat gesponserte APT-Gruppe "Camaro Dragon" zurück. Bei der Infrastruktur dieser Aktivitäten gibt es CPR zufolge erhebliche Überschneidungen mit Aktivitäten der als "Mustang Panda" bezeichneten Gruppe. Außerdem entdeckten die Sicherheitsforscher dabei ein bösartiges Firmware-Implantat für TP-Link-Router.

Das Firmware-Implantat für das Modell TL-WR940N enthält mehrere schädliche Komponenten. Dazu gehört auch eine modifizierte Variante der als "Horse Shell" bezeichnete Backdoor. Sie ermöglicht es Angreifern, die volle Kontrolle über infizierte Geräte zu übernehmen, unentdeckt zu bleiben und auf kompromittierte Netzwerke zuzugreifen.

"Die in dem Bericht erwähnte Sicherheitslücke beschreibt Router, die Firmware von Drittanbietern (keine offizielle TP-Link-Firmware) installiert haben, die mit bösartigen Anpassungen und eingebetteten Skripten infiziert sind, um Angriffe auszuführen", erklärt TP-Link in einer Stellungnahme. "Der Bericht von CPR lässt eine Erklärung, wie betroffene Geräte sich infiziert haben, offen. Wir empfehlen unseren Nutzern dringend, keine inoffizielle Drittanbieter-Firmware zu verwenden. Wir veröffentlichen regelmäßig aktuelle Firmware, um die Gerätesicherheit zu verbessern und gemeldete Sicherheitslücken zu schließen", so das Unternehmen weiter. Benutzern empfiehlt es, ihre WLAN-Router auf die jeweils neueste offizielle Firmware zu aktualisieren Für das betroffene Modell 940N findet sich die hier.

"Aus der Vergangenheit ist bekannt, dass Router-Implantate oft auf beliebigen Geräten ohne besonderes Interesse installiert werden, um eine Verbindung zwischen den Hauptinfektionen und der eigentlichen Befehls- und Kontrollfunktion zu schaffen", ordnet Check Point Research seine Erkenntnisse ein. "Mit anderen Worten: Die Infizierung eines Heimrouters bedeutet nicht, dass der Hausbesitzer gezielt angegriffen wurde, sondern dass er nur ein Mittel zum Zweck ist."

Die Entdeckung des Implantats von Camaro Dragon für den TP-Link-Router zeige jedoch, wie wichtig es sei, Schutzmaßnahmen gegen ähnliche Angriffe zu ergreifen. Check Point Software empfiehlt dazu neben der Nutzung von Sicherheits-Software die regelmäßige Aktualisierungen der Firmware und Software, die Standard-Anmeldedaten für alle mit dem Internet verbunden Geräte in sichere Passwörter zu ändern und sofern möglich eine mehrstufige Authentifizierung zu verwenden.

Mehr zum Thema

Warnung vor Schwachstellen in Netgear-Routern

Mit Firefox mehr Sicherheit & Datenschutz beim Surfen erreichen

Marktübersicht Wi-Fi 6 und Wi-Fi 6E

Zur Startseite