Aus dem Schatten der Vergangenheit
Die Bedrohungslage im Internet der Dinge (IoT) bleibt alarmierend. Aktuelle Berichte von Fortinet FortiGuard Labs und Palo Alto Networks Unit 42 zeigen, wie Bedrohungsakteure gezielt veraltete und unzureichend geschützte Geräte für ihre Zwecke missbrauchen. Im Fokus stehen dabei zwei Kampagnen, die unterschiedliche Schwachstellen ausnutzen, aber ein gemeinsames Ziel verfolgen: die Rekrutierung von Geräten für Distributed-Denial-of-Service (DDoS)-Botnets.
Die eine Kampagne zielt auf TBK-DVR-Geräte ab und nutzt die Schwachstelle CVE-2024-3721 (CVSS-Score: 6,3), eine Command-Injection-Schwachstelle mittlerer Schwere, die die Modelle DVR-4104 und DVR-4216 betrifft. Die andere richtet sich gegen End-of-Life (EoL) TP-Link-WLAN-Router und versucht, die Schwachstelle CVE-2023-33538 (CVSS-Score: 8,8) auszunutzen – wenn auch bisher erfolglos.
Nexcorium: Ein neuer Mirai-Sprössling mit alten Tricks
Der Angriff auf die TBK-DVR-Geräte liefert eine neue Mirai-Variante namens Nexcorium. Der Name ist Programm: Nach der Ausführung der Malware gibt diese die Meldung „nexuscorp has taken control" aus. Architektonisch folgt Nexcorium dem bewährten Mirai-Blueprint, einschließlich einer XOR-kodierten Konfigurationstabelle, einem Watchdog-Modul und einem DDoS-Angriffsmodul.
Besonders bemerkenswert ist die Vorgehensweise der Malware bei der Verbreitung. Sie nutzt nicht nur die ursprüngliche Schwachstelle für den initialen Zugriff, sondern enthält auch einen Exploit für CVE-2017-17215, eine Schwachstelle in Huawei HG532-Geräten, die bereits seit 2017 bekannt ist. Zudem verfügt Nexcorium über eine Liste hartkodierter Benutzernamen und Passwörter für Brute-Force-Angriffe über Telnet-Verbindungen.
Nach erfolgreicher Kompromittierung etabliert die Malware Persistenz über Crontab und systemd-Dienste, verbindet sich mit einem externen Server und wartet auf Befehle für DDoS-Angriffe über UDP, TCP und SMTP. Um die Analyse zu erschweren, löscht sie anschließend das ursprünglich heruntergeladene Binary.
Ein wiederkehrendes Muster
Dies ist nicht das erste Mal, dass CVE-2024-3721 in der Wildnis ausgenutzt wird. Bereits im vergangenen Jahr wurde die Schwachstelle genutzt, um eine andere Mirai-Variante sowie das Botnet RondoDox zu verbreiten. Im September 2025 dokumentierte CloudSEK einen groß angelegten Loader-as-a-Service-Botnet, der RondoDox, Mirai und Morte-Payloads über schwache Zugangsdaten und alte Schwachstellen in Routern, IoT-Geräten und Unternehmensanwendungen verteilte.
„IoT-Geräte sind aufgrund ihrer weiten Verbreitung, fehlender Patches und oft schwacher Sicherheitseinstellungen zunehmend bevorzugte Ziele für groß angelegte Angriffe", erklärt Sicherheitsforscher Vincent Li. „Bedrohungsakteure nutzen weiterhin bekannte Schwachstellen aus, um initialen Zugriff zu erhalten und Malware bereitzustellen, die persistieren, sich verbreiten und DDoS-Angriffe ausführen kann."
Das Problem mit den Standard-Zugangsdaten
Die Forscher von Unit 42 haben zudem automatisierte Scans und Probes gegen EoL-TP-Link-Router beobachtet, die die Command-Injection-Schwachstelle CVE-2023-33538 ausnutzen wollen. Die betroffenen Modelle – TL-WR940N v2 und v4, TL-WR740N v1 und v2 sowie TL-WR841N v8 und v10 – werden bereits seit Juni 2025 im KEV-Katalog der US-Cybersecurity and Infrastructure Security Agency (CISA) geführt.
Die beobachteten Angriffe waren zwar fehlerhaft und würden nicht zu einer erfolgreichen Kompromittierung führen, aber die Forscher betonen, dass die zugrunde liegende Schwachstelle real ist. Eine erfolgreiche Ausnutzung erfordert jedoch eine Authentifizierung an der Weboberfläche des Routers – und hier schließt sich der Kreis zu einem grundlegenden Problem: Standard-Zugangsdaten.
Die in diesem Angriff eingesetzte Malware ähnelt Mirai und enthält zahlreiche Referenzen auf den String „Condi". Sie kann sich selbst aktualisieren und als Webserver fungieren, um die Infektion auf andere verbundene Geräte auszubreiten.
„Für die absehbare Zukunft wird die Sicherheitslandschaft weiterhin von dem anhaltenden Risiko von Standard-Zugangsdaten in IoT-Geräten geprägt sein", erklären die Forscher von Unit 42. „Diese Zugangsdaten können eine begrenzte, authentifizierte Schwachstelle in einen kritischen Einstiegspunkt für entschlossene Angreifer verwandeln."
Die Lektion: Patchen allein reicht nicht
Diese Vorfälle illustrieren ein grundlegendes Problem der IoT-Sicherheit: Es reicht nicht, Schwachstellen zu identifizieren und Patches bereitzustellen, wenn die Geräte entweder keine Updates erhalten – wie im Fall der EoL-TP-Link-Router – oder die Besitzer diese nicht anwenden. Die Tatsache, dass Schwachstellen aus den Jahren 2017 und 2023 weiterhin aktiv ausgenutzt werden, zeigt, dass das Fenster der Verwundbarkeit bei IoT-Geräten viel größer ist als bei anderen Systemen.
Für Nutzer und Administratoren gibt es klare Handlungsanweisungen: EoL-Geräte müssen durch aktuelle Modelle ersetzt werden, Standard-Zugangsdaten müssen sofort geändert werden, und Netzwerksegmentierung sollte eingesetzt werden, um die Reichweite kompromittierter IoT-Geräte zu begrenzen. Denn eines ist sicher: Solange es unsichere Geräte im Netz gibt, werden Botnet-Betreiber sie finden und ausnutzen.
Quelle: The Hacker News
