Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 08.06.2026 · 4 min Lesezeit

C0XMO-Botnet befällt DD-WRT-Router und eliminiert Konkurrenz-Malware

Fortinet-Forscher haben eine neue Gafgyt-Variante namens C0XMO entdeckt, die über eine kritische Lücke in DD-WRT-Router-Firmware verbreitet wird – und kompromittierte Geräte aktiv von konkurrierender Botnet-Malware befreit, um Ressourcen exklusiv zu nutzen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff

Sicherheitsforscher von Fortinet haben eine neue Variante des bekannten Gafgyt-Botnets identifiziert, die unter dem Namen C0XMO firmiert. Das Botnet nutzt CVE-2021-27137 – einen Stack-Buffer-Overflow im UPnP-Dienst von DD-WRT-Router-Firmware – für eine unauthentifizierte Remote-Code-Ausführung. Besonders auffällig: C0XMO löscht nach der Kompromittierung aktiv andere auf dem System vorhandene Botnet-Malware, um die Ressourcen des Geräts exklusiv zu kontrollieren. Der Fortinet-Bericht wurde am 7. Juni 2026 veröffentlicht und betrifft potenziell zahlreiche Consumer- und SMB-Router im DACH-Raum.

Die Schwachstelle im Detail

CVE-2021-27137 beschreibt einen Stack-Buffer-Overflow im UPnP-Dienst (SSDP) von DD-WRT-Router-Firmware. Der Angriff erfolgt über UDP-Port 1900 und erfordert keinerlei Authentifizierung. Ein entfernter Angreifer kann damit beliebigen Code auf dem betroffenen Gerät ausführen, ohne gültige Zugangsdaten zu benötigen.

C0XMO ist dabei nicht auf eine einzige Architektur beschränkt. Das Botnet unterstützt ARM, MIPS, PowerPC, SuperH, x86 und x86_64 und kann sich neben Routern auch auf DVRs, Videomanagement-Plattformen und Android-IoT-Geräte ausbreiten. Die modulare Architektur ermöglicht es den Angreifern, Exploit-Module, Zielarchitekturen und Lateral-Movement-Fähigkeiten unabhängig vom Hauptpayload zu aktualisieren – was Abwehr und Erkennung erheblich erschwert.

Nach dem ersten Zugriff versucht C0XMO zusätzlich, Telnet- und SSH-Zugangsdaten per Brute-Force zu ermitteln. Für Persistenz wird ein Cron-Job eingerichtet, der alle 15 Minuten ausgeführt wird. Zudem durchsucht die Malware das kompromittierte System nach konkurrierender Botnet-Software und entfernt diese aktiv.

Bin ich betroffen?

Betroffen sind Geräte mit DD-WRT-Firmware, auf denen der UPnP-Dienst aktiv ist und CVE-2021-27137 noch nicht gepatcht wurde. DD-WRT ist auf einer Vielzahl von Consumer- und SMB-Routern im Einsatz und damit im DACH-Raum weit verbreitet. Darüber hinaus sind folgende Gerätetypen gefährdet:

  • Router mit DD-WRT-Firmware (anfällige UPnP-Versionen)
  • DVRs und Videomanagement-Systeme
  • Android-basierte IoT-Geräte

Ob der UPnP-Dienst auf einem DD-WRT-Router aktiv ist, lässt sich in der Weboberfläche unter den NAT/QoS- oder Sicherheitseinstellungen prüfen. Standardmäßig ist UPnP auf vielen Geräten aktiviert. Netzwerkadministratoren sollten außerdem prüfen, ob UDP-Port 1900 von externen Schnittstellen erreichbar ist, und die Geräte auf bekannte C0XMO-Kompromittierungsindikatoren (IoCs) untersuchen. Wie der grundlegende Aufbau einer Firewall und das Absichern eines Linux-basierten Systems funktioniert, erklärt die Anleitung Linux-Server absichern mit UFW und Fail2ban.

Wie behebe ich das?

Die wichtigsten Schutzmaßnahmen im Überblick:

  1. DD-WRT auf die aktuelle Firmware aktualisieren, die CVE-2021-27137 behebt. Die offizielle DD-WRT-Projektseite stellt aktualisierte Images bereit.
  2. UPnP/SSDP-Dienst deaktivieren, insbesondere auf externen Interfaces (UDP-Port 1900 blockieren). Wenn UPnP intern nicht benötigt wird, sollte der Dienst vollständig abgeschaltet werden.
  3. Telnet deaktivieren und SSH mit starken, individuellen Passwörtern absichern. Standard- und Hersteller-Passwörter müssen zwingend geändert werden. Grundlagen zur sicheren Passwort-Strategie im Unternehmensumfeld finden sich in der Anleitung Sichere Passwörter und Passkeys im Unternehmen.
  4. Netzwerk auf C0XMO-IoCs prüfen: Ungewöhnliche ausgehende Verbindungen, unbekannte Cron-Jobs auf dem Gerät und verdächtige Prozesse sind Hinweise auf eine Kompromittierung.
  5. Segmentierung des Netzwerks prüfen: IoT-Geräte und Router sollten möglichst in eigenen VLANs betrieben werden, um die Ausbreitung bei einer Kompromittierung zu begrenzen.

Was bedeutet das für Unternehmen?

Kompromittierte Router bilden ein zentrales Einfallstor ins interne Netzwerk. C0XMO kann kompromittierte Geräte für DDoS-Angriffe, Man-in-the-Middle-Angriffe und interne Netzwerkaufklärung missbrauchen. Die modulare Architektur des Botnets erhöht das Risiko zusätzlich: Angreifer können Funktionen nachträglich erweitern, ohne erneut Zugriff über die ursprüngliche Schwachstelle erlangen zu müssen.

Für KMUs mit DD-WRT-basierten Routern besteht ein erhebliches Risiko einer dauerhaften Kompromittierung der Netzwerkinfrastruktur. Die Tatsache, dass C0XMO konkurrierende Malware aktiv verdrängt, deutet auf eine professionell organisierte Bedrohungsgruppe hin, die langfristig auf exklusive Kontrolle über infizierte Geräte abzielt. Zudem erschwert der modulare Aufbau eine zuverlässige Erkennung durch signaturbasierte Sicherheitslösungen.

Unternehmen, die DD-WRT-Router einsetzen, sollten die Firmware-Aktualisierung als dringend einstufen. Darüber hinaus empfiehlt sich ein Überblick über die eigene Router-Flotte sowie ein strukturiertes Vorgehen für den Fall einer tatsächlichen Kompromittierung – Grundlagen dazu bietet die Anleitung Ransomware-Notfallplan: Die ersten 60 Minuten.

Quellen: BleepingComputer: C0XMO botnet spreads via DD-WRT router flaw, kills rival malware | Cybersecurity News: New Gafgyt Variant Targets Multiple Linux Architectures With Modular Propagation | hendryadrian.com: Inside the Cross-Platform Propagation of a New Gafgyt Variant C0XMO

Verwandt

Weiter lesen

Alle Artikel →
Mitarbeitende melden sich sicher mit Passwortmanager und Passkeys im Unternehmen an
08.06.2026 ·4 min

Silent Ransom Group greift Anwaltskanzleien per Vishing an – FBI und Mandiant warnen

FBI und Google Mandiant warnen vor gezielten Vishing-Angriffen der Silent Ransom Group auf US-Anwaltskanzleien. Die Täter geben sich als IT-Support aus, erscheinen teils physisch im Büro und stehlen vertrauliche Mandantendaten – oft in unter einer Stunde.
Google Chrome Logo umgeben von leuchtendem Schutzschild und 429 Patch-Symbolen – Symbolbild zum rekordhaften Sicherheitsupdate Chrome 149.
07.06.2026 ·3 min

Google Chrome 149: Rekordhaftes Sicherheitsupdate schließt 429 Schwachstellen

Google hat Chrome 149 am 2. Juni 2026 mit einem historisch umfangreichen Sicherheitsupdate veröffentlicht: 429 Schwachstellen wurden behoben, darunter 22 kritische – mehr als je zuvor in einem einzigen Browser-Update. Sofortiges Aktualisieren wird dringend empfohlen.
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff
07.06.2026 ·3 min

SolarWinds Serv-U: CISA meldet aktiv ausgenutzte DoS-Lücke CVE-2026-28318, Patch verfügbar

Die US-Behörde CISA hat CVE-2026-28318 in SolarWinds Serv-U in den KEV-Katalog aufgenommen. Angreifer können ohne Authentifizierung den Dienst per manipuliertem HTTP-POST zum Absturz bringen. US-Bundesbehörden müssen bis 19. Juni 2026 patchen – Hotfix 15.5.4 HF1 ist verfügbar.