Miljoenen routers wereldwijd zijn kwetsbaar voor een oud maar niet eerder geïdentificeerd zero day-lek. Hackers misbruiken de bug al in het wild toestellen in te lijven in een botnet.
Aanvallers maken actief misbruik van een bug in de firmware van miljoenen routers. Dat ontdekte Juniper Threat Labs. Het gaat om kwetsbaarheid CVE-2021-20090. Die laat hackers toe om vanop afstand authenticatie te omzeilen om toegang te krijgen tot een router. Die toegang misbruiken ze om toestellen in te lijven in een Mirai-botnet.
Wijdverspreide kwetsbaarheid
De kwetsbaarheid leeft al een decennium lang in de Arcadyan-routerfirmware. De firmware wordt intussen gebruikt in zeker 20 verschillende routers van 17 verschillende fabrikanten. Toestellen van onder andere Asus, Buffalo, Vodafone, O2, Deutsche Telekom en KPN zijn getroffen. Bleeping Computer heeft de hele lijst van kwetsbare hardware.
De kwetsbaarheid zal zich vermoedelijk nog lang laten voelen. De diversiteit aan toestellen en het feit dat het om thuisrouters gaat, impliceert dat eigenaars niet meteen om de hoogte zijn van het belang van een patch.
Chinese hackers
De bug wordt voorlopig uitgebuit door aanvallers afkomstig uit China. Zij zoeken verschillende manieren om hun Mirai-botnet uit te breiden. Mirai is een populair en gevaarlijk botnet aangezien het vooral berust op IoT-toestellen. Denk daarbij niet alleen aan routers maar bijvoorbeeld ook slimme camera’s. Mirai gebruikt zo talrijk aanwezige en vaak slecht beveiligde hardware om te groeien. Met de kwetsbare Arcadyan-firmware komen er heel wat potentiële botnet-slachtoffers bij.
Het lijkt er voorlopig op dat er geen routers getroffen zijn die providers in België gebruiken. Het kan natuurlijk wel zijn dat je zelf een router bezit die op de lijst staat. Controleer dat voor de zekerheid en voer updates zo snel mogelijk door.