Eine neue und ausgeklügelte Variante des Botnets Gafgyt namens C0XMO verbreitet sich aktiv, indem sie die Firmware von DD-WRT-Routern ins Visier nimmt. Diese Bedrohung, entdeckt von Forschern von Fortinet, zeichnet sich durch ihre Fähigkeit aus, die Schwachstelle CVE-2021-27137 auszunutzen, einen Pufferüberlauf-Fehler, der die willkürliche Ausführung von Code ohne Authentifizierung ermöglicht. Die Malware beschränkt sich nicht nur auf Router, sondern kann eine breite Palette von Geräten mit verschiedenen CPU-Architekturen kompromittieren, darunter ARM, MIPS, PowerPC, SuperH, x86 und x86_64, und erstreckt sich auf DVRs, Videoverwaltungsplattformen und Android-Geräte.
Der initiale Angriff wird durch die Ausnutzung von CVE-2021-27137 ermöglicht, einer Schwachstelle, die aus einer unzureichenden Verwaltung von Benutzereingaben resultiert und den Weg für die willkürliche Codeausführung ohne die Notwendigkeit von Anmeldeinformationen ebnet. Für eine breitere Verbreitung und seitliche Bewegung lädt C0XMO ein Python-Skript herunter, das die für das Netzwerk-Scanning und die Kommunikation erforderlichen Pakete installiert und auf Protokollen wie SSH und Telnet arbeitet. Der Scanner untersucht Systeme, die auf gängigen Ports (22, 23, 80/443, 7547, 8080, 8443, 8888) exponiert sind, und versucht anschließend Brute-Force-Angriffe auf schwache Telnet- und SSH-Anmeldeinformationen, um die mit der erkannten CPU-Architektur kompatible Nutzlast zu verteilen. Fortinet betonte das modulare Design von C0XMO, das es den Betreibern ermöglicht, Exploit-Techniken zu aktualisieren und die Fähigkeiten zur seitlichen Bewegung unabhängig von der Hauptnutzlast zu erweitern, was auf ein höheres Maß an operativer Raffinesse als bei typischen IoT-Botnets hindeutet.
Nachdem C0XMO Zugriff erhalten hat, besteht sein Hauptziel darin, Distributed-Denial-of-Service-Angriffe (DDoS) zu starten, wobei es 19 verschiedene Methoden unterstützt, einschließlich UDP-/TCP-/SYN-/ICMP-Floods und Amplifikationsangriffe. Die Malware sichert ihre Persistenz, indem sie sich an versteckte Orte kopiert (z.B. /tmp/.sys, /var/tmp/.sys, /dev/shm/.sys) und Cron-Jobs erstellt, die sie alle 15 Minuten neu starten, sowie Startdateien der Shell modifiziert. Eine weitere bemerkenswerte Eigenschaft ist ihre Fähigkeit, Konkurrenz zu eliminieren: C0XMO scannt aktiv laufende Prozesse, um rivalisierende Botnet-Clients, ‘Red-Team’-Tools, Programmierwerkzeuge und Netzwerkdienste, die ihre Operationen stören könnten, zu identifizieren und zu beenden, indem es deren Binärdateien löscht und die zugehörigen Persistenzmechanismen entfernt.
Die Verbreitung von Botnets wie C0XMO stellt eine erhebliche Bedrohung für Organisationen dar, die personenbezogene Daten verarbeiten, und für deren Einhaltung gesetzlicher Vorschriften. Obwohl der Text keinen direkten Bezug zu Datenlecks nimmt, können die willkürliche Codeausführung und die seitliche Bewegung leicht dazu führen, die Integrität, Verfügbarkeit und Vertraulichkeit von Daten zu gefährden, die grundlegende Säulen der DSGVO sind. Die Kompromittierung von IoT-Geräten und kritischen Netzwerkinfrastrukturen ist zudem ein relevanter Faktor im Sinne der NIS2-Richtlinie, die strenge Verpflichtungen zur Verwaltung von Cybersicherheitsrisiken und zur Meldung von Vorfällen für wesentliche und wichtige Einrichtungen auferlegt. Die Raffinesse von C0XMO, von Fortinet als “eine wesentlich fortschrittlichere Architektur und Funktionalität” beschrieben, erfordert einen proaktiven Sicherheitsansatz, im Einklang mit den Anforderungen der Norm ISO 27001 für das Informationssicherheitsmanagement.
Um sich effektiv vor C0XMO und ähnlicher Botnet-Malware zu schützen, sind die allgemeinen Empfehlungen der Forscher klar und umfassen grundlegende Praktiken der Cyberhygiene. Es ist unerlässlich
- alle Geräte und Firmware, insbesondere die dem Internet ausgesetzten, auf dem neuesten Stand zu halten, um bekannte Schwachstellen wie CVE-2021
Zum Originalartikel auf BleepingComputer ↗
Lesen Sie auch
- PL Consulting und Studio Pfeifer & Partners: Pioniererfolg mit ISO 9001 und BIM 11 Jul 2026
- Die Rolle des DSB: Wann er Pflicht ist und warum er strategisch für Ihr Unternehmen ist 11 Jul 2026
- Chatkontrolle in Europa: Vorschlag, Debatte und Implikationen für Datenschutz und Cybersicherheit 10 Jul 2026
