Nicht identifizierte Bedrohungsakteure nutzen aktiv eine kritische Authentifizierungs-Bypass-Schwachstelle aus, um Heimrouter zu kapern. Das von Tenable am 3. August bekannt gegebene Problem besteht vermutlich seit mindestens 10 Jahren und betrifft mindestens 20 Router-Modelle.

Bei der Schwachstelle "CVE-2021-20090" handelt es sich um eine Critical-Path-Traversal-Schwachstelle (CVSS-Score 9,9/10) in den Webinterfaces von Routern mit Arcadyan-Firmware, die es Remote-Angreifern ermöglicht, die Authentifizierung zu umgehen.

Zu den anfälligen Geräten gehören Dutzende von Routermodellen verschiedener Anbieter und ISPs, darunter Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra und Telus. Die vollständige Liste ist im Report von Tenable einsehbar.

Basierend auf der Anzahl der Routermodelle und der langen Liste der Anbieter, die von dieser Schwachstelle betroffen sind, erreicht die Gesamtzahl der Geräte, die Angriffen ausgesetzt werden können, wahrscheinlich Millionen von Routern. Betroffene Nutzer sollten, falls nicht bereits geschehen, dringend das letzte Firmware-Update installieren.

Wie ist die Situation in der Schweiz? Zumindest Kunden der beiden grossen Telcos können aufatmen. Auf Anfrage von inside-it.ch erklärt Sunrise UPC: "Kundinnen und Kunden, welche die von Sunrise UPC vertriebenen Router nutzen, sind von der genannten Sicherheitslücke nicht betroffen, da bei diesen Routern die Arcadyan-Firmware nicht eingesetzt wird."

Auch die Medienstelle von Swisscom gibt nach Abklärungen bei ihren Zulieferern Entwarnung: "Unsere Abklärungen haben ergeben, dass unsere Internet-Boxen von dieser Sicherheitslücke nicht betroffen sind. Die Internet-Boxen verwenden keine betroffene Arcadyan-Software."