Backdoor in vielen Routermodellen

[RogerMalone]

Von Heise.de

Nach der Entdeckung des undokumentierten Dienstes, über den man unter anderem bei Routern von Linksys und Netgear die Systemkonfiguration manipulieren kann, wird die Liste der betroffenen Geräte immer länger.

http://www.heise.de/security/meldung/Router-auf-Backdoor-testen-2074844.html

Noch nichts davon gehört das es auch bei Fritzboxen der Fall ist.

Grüße

[Schweijksam]

Die Mail bekam ich heute früh als Info in die Arbeit. Ich weiss nicht obs ein alter Hut ist oder gar ne Ente, kann aber evtl. für den einen oder anderen interessant sein:

Eine aktuelle Meldung des Online-Portals heise.de hat am Freitag viele

Internetnutzer in helle Aufregung versetzt und wurde heiß diskutiert. Nach

Heise vorliegenden Informationen sollen diverse Router über den TCP-Port 32764

aus dem Internet erreichbar sein und gewährt Interessenten im schlimmsten

Falle Zugriff auf die gesamte Router-Konfigurationsdatei inklusive dem

dazugehörigen Admin-Passwort.

Wie ist Heise zu dieser Information gelangt?

Wie Heise-Online bereits Anfang Januar berichtete, hatten die Redakteure

ermittelt, dass der Reverse Engineer Eloi Vanderbeken an seinem Router, einem

Linksys WAG200G festgestellt hatte, dass dieser über den Port 32764 erreichbar

war. Da er sich nicht erklären konnte, wozu dieser Dienst notwendig war,

unterzog er die Router-Firmware einer umfassenden Analyse mit dem Tool

binwalker, einem Reverse-Engineering-Tool (engl.: Rückentwicklungstool), mit

dessen Hilfe bereits bestehende Systeme, ihre Strukturen und Verhaltensweisen

untersucht und ausgewertet werden können. So kann das untersuchte Objekt

vollständig abgebildet werden.

Aufgrund dieser Analyse fand Vanderbeken nach Auskunft von Heise heraus, dass

es sich bei dem offenen Port

“um eine Konfigurationsschnittstelle (handelt), durch die man eine Reihe von

Befehlen auf dem Router ausführen kann. Einer der Befehle etwa setzt das Gerät

auf Werkeinstellungen zurück, ein anderer spuckt die Router-Konfiguration aus –

mitsamt aller Passwörter im Klartext.”

Seine Ergebnisse veröffentlichte Vanderbeken bei Github. Hier wurde mit Hilfe

weiterer Beteiligter ermittelt, dass die Programmierung der Schnittstelle

möglicherweise von der Firma SerComm vorgenommen wurde. Eine Liste der von

SerComm programmierten Router findet sich unter http://wikidevi.com/.

Was kann man auslesen?

Nach weiteren Recherchen durch Heise-Online und einer ausgedehnten Abfrage über

die Spezialsuchmaschine Shodan fanden die Redakteuere heraus, dass

“fast 3000 IP-Adressen auf Port 32764 antworteten, 60 davon aus Deutschland.”

Bei einem weiteren Scan über die deutschen IP-Adressen fand Heise Security nach

eigenen Angaben

“über 350 Router, deren komplette Konfigurationsdateien sich direkt auslesen

lassen. Darin enthalten: Passwörter für den Admin-Zugang des Routers, das WLAN,

den DSL-Zugang, Proxy-Server und DynDNS-Dienste. Sogar Passwörter und

Zertifikate für VPNs fanden sich auf einigen Geräten.”

Wer ist betroffen?

Betroffen sind in Deutschland, nach Angaben von Heise Online, vor allem Router

der Firmen SerComm, Cisco, Linksys und Netgear. Aber auch auf anderen Routern

wurde dieser offene Port bereits vereinzelt festgestellt. Eine entsprechende

Liste findet sich unter githup.

Um zu testen, ob Ihr Router diesen offenen Port aufweist, stellt Heise unter

http://www.heise.de/ einen allgemeinen Netzwerkcheck zur Verfügung. Sollte

dieser Check einen offenen Port melden, kann anhand eines ebenfalls enthaltenen

speziellen „Backdoor Test“ überprüft werden, ob das System tatsächlich über

diese Backdoor antwortet.

Warum ist ein offener Port problematisch?

Ports sind sog. Meta-Informationen, die im Netzwerkprotokoll enthalten sind.

(wikipedia). Die Ports werden bei der Datenübertragung mitgesendet um so

Datenpakete entsprechend addressieren und ausgewerten zu können.

Ist ein Port ungeschützt aus dem Internet für Dritte erreichbar, bietet er,

neben der Möglichkeit unbefugt Informationen auslesen zu können, Dritten

ebenfalls die Möglichkeit, diese Schnittstellen zum Einschleusen von Malware

und Trojanern zu missbrauchen. So könnten Hacker diese Backdoor nutzen, um z.B.

den DNS-Server im Router zu ändern und so dengesamten Internetverkehr

umzuleiten.

Was wurde unternommen?

Bereits nach Auffinden dieses Risikos wurden die betroffenen Hersteller durch

Heise angeschrieben und um eine Stellungnahme gebeten. Nach Auskunft von

Heise-Online habe ein Sprecher des zu Belkin gehörenden Netzwerkausrüsters

Linksys zwischenzeitlich mitgeteilt, dass man sich des Problems bewusst sei und

an einer Beseitigung arbeite. Auch weitere Hersteller, wie Cisco und Netgear

haben sich dieses Problems mittlerweile angenommen.

Zudem wurde das CERT-Bund, zu dessen Aufgaben der Betrieb eines Warn- und

Informationsdienstes über Schwachstellen und Sicherheitslücken gehört, durch

Heise Online informiert und gebeten, eine entsprechende Warnung aufzunehmen.

Was kann der einzelne Anwender tun?

Für den einzelnen Anwender bestehen derzeit nur wenige Handlungsmöglichkeiten,

da er hier vom Reaktionswillen der Hersteller abhängig ist. Sollten Sie diese

Backdoor auch bei Ihrem Router feststellen, informieren Sie sich bitte bei

Ihrem Hersteller über ein zeitnahes Update der Firmware und spielen Sie diese

ein, soweit dies nicht automatisch geschieht. Solange dieses jedoch nicht

vorliegt, rät Heise Online den Nutzern:

“den Router für die Dauer des Bestehens dieses Sicherheitsrisikos sofort außer

Betrieb zu nehmen.”

/wave

Schweijksam

[mad.gobbo]

3 Threads unter deinem

http://forum.druckwelle-hq.de/showthread.php?48685-Backdoor-in-vielen-Routermodellen

jetzt machen sie daraus schon eine Rundmail ...

[Schweijksam]

yo dann bitte schließen..

Merci

/wave

Schweijksam

[mad.gobbo]

besser: zusammenführen

[Guest]

[h=1]Netzwerkcheck[/h][h=2]Ihr Scan-Ergebnis[/h]Ihr System antwortet nicht auf ICMP-Pakete.

[TABLE]

[TR]

[TH]Port[/TH]

[TH]Name[/TH]

[TH]Status[/TH]

[TH]Erläuterung[/TH]

[/TR]

[TR=bgcolor: #17df17]

[TD]32764[/TD]

[TD][/TD]

[TD]gefiltert[/TD]

[TD]Backdoor in div. Routern

[/TD]

[/TR]

[/TABLE]

Nur rote Zeilen bedeuten ein Problem. Mehr dazu erfahren Sie auf der Hilfeseite zu den Ergebnissen.

Der Telekom-Entertain-IPTelefonie-IPTV-schrott kann doch nicht so schlecht sein.. Siemens ftw

[Legedric]

Ich empfehle dazu jedem dieses Vortragsvideo vom 30c3 von Jake Applebaum!

Vorsicht, jemandem der bisher an "das Gute" geglaubt hat könnte nach der Stunde hier schlecht werden

[Scardon]

Wie schön bin Sauber