Firewall und Router sind besonders attraktive Ziele für Hacker, weil sie zentrale Sicherheitskomponenten in Netzwerken sind. Angriffe auf diese Systeme können massive Folgen haben. Hacker gehen meist in einem Stufenprozess vor:
Patch-Releases und CVEs analysieren
Sobald ein Hersteller Firmware-Updates veröffentlicht, gibt er oft CVEs (Common Vulnerabilities and Exposures) bekannt. Diese Infos sind für Angreifer wertvoll, denn sie enthalten:
- Versionen mit Schwachstellen
- Technische Details (manchmal unabsichtlich durch Dritte oder Exploit-Datenbanken offengelegt)
- Hinweise auf Konfigurationsfehler oder Bypasses
Unterschiede in den Versionen feststellen
Hacker laden alte (verwundbare) und neue (gepatchte) Firmware herunter. Dann analysieren sie, welche Binärdateien verändert wurden, ob z. B. neue Authentifizierungschecks hinzugefügt wurden.
Entwicklung von Exploits
Beispiel: CVE-2022-40684
• Angreifer sendet manipulierte HTTP-Header an das Webinterface.
• Kann dadurch ohne Login administrative Befehle ausführen.
• Führt zu kompletter Kontrolle über die Firewall.
Nutzen der Schwachstelle
Sobald ein solcher Exploit öffentlich wird, wird er oft automatisiert genutzt – z. B. in Botnets oder durch Skript-Kiddies. Alle Geräte, die nicht aktualisiert wurden, haben diese Schwachstelle noch und sind darüber angreifbar. Am besten für Hacker ist ein Massenscan & das Ausnutzung über das Internet. Falls ein ungepatchtes Gerät gefunden wird, erfolgt ein sofortiger Angriff und der Einbau von Backdoors, Datenexfiltration, oder Nutzung als Pivot-Point im Netzwerk.
Nach der Übernahme werden Benutzerkonten mit Adminrechten erstellt, Zugangsdaten, VPN-Regeln etc kopiert und meisten Änderung von Log-Einstellungen erstellt, um Spuren zu verwischen.
Was für Schutzmaßnahmen gibt es?
Schutzmaßnahmen für Administratoren bestehen unter anderem aus:
- Strukturiertes abonieren und abarbeiten von Security Advisories
- Regelmäßige Firmware-Updates testen und einspielen (nicht nur bei CVE-Veröffentlichung)
- Webinterface nur intern oder über VPN zugänglich machen
- Zwei-Faktor-Authentifizierung aktivieren
- Automatisierte Schwachstellenscanner einsetzen (z. B. Tenable, OpenVAS)
Beispiel aus der Praxis
„A use of externally-controlled format string vulnerability [CWE-134] in FortiOS, FortiProxy, FortiPAM, FortiSRA and FortiWeb may allow a privileged attacker to execute unauthorized code or commands via specially crafted HTTP or HTTPS commands.“
Im Mai 2025 wurde CVE-2024-45324 aktiv ausgenutzt – bevor viele Unternehmen patchen konnten. Fortinet warnte sogar per E-Mail, weil die Bedrohung so ernst war. Unternehmen, die die Admin-Oberfläche aus dem Internet erreichbar machten, wurden reihenweise kompromittiert.Hacker nutzen Schwachstellen in Firmware-Updates auf verschiedene Weise, um Systeme zu kompromittieren.
Updates von Betriebssystem und Firmware werden immer unbeabsichtigt Schwachstellen preisgeben. Besonders schwerwiegend ist es, wenn sie schlecht dokumentiert oder veröffentlicht sind. Ein Risiko sind auch Sicherheitslücken, die nicht ordentlich „versteckt“ gepatcht werden. Deshalb ist vorausschauendes Monitoring und gute Ausbildung der involvierten Mitarbeiter genauso entscheidend wie schnelles Patchen sowie sicherheitsbewusstes Design bei Firmware. Vertrauen Sie auf die Kompetenz einer IT-Firma, die regelmäßig mit diesen Themen involviert ist und nicht auf interne – oder externe – Mitarbeiter, die sich nur fallweise darum kümmern.