Eine aktuelle Meldung des Online-Portals heise.de hat am Freitag viele Internetnutzer in helle Aufregung versetzt und wurde heiß diskutiert. Nach Heise vorliegenden Informationen sollen diverse Router über den TCP-Port 32764 aus dem Internet erreichbar sein und gewährt Interessenten im schlimmsten Falle Zugriff auf die gesamte Router-Konfigurationsdatei inklusive dem dazugehörigen Admin-Passwort.
Der Inhalt im Überblick
Wie ist Heise zu dieser Information gelangt?
Wie Heise-Online bereits Anfang Januar berichtete, hatten die Redakteure ermittelt, dass der Reverse Engineer Eloi Vanderbeken an seinem Router, einem Linksys WAG200G festgestellt hatte, dass dieser über den Port 32764 erreichbar war. Da er sich nicht erklären konnte, wozu dieser Dienst notwendig war, unterzog er die Router-Firmware einer umfassenden Analyse mit dem Tool binwalker, einem Reverse-Engineering-Tool (engl.: Rückentwicklungstool), mit dessen Hilfe bereits bestehende Systeme, ihre Strukturen und Verhaltensweisen untersucht und ausgewertet werden können. So kann das untersuchte Objekt vollständig abgebildet werden.
Aufgrund dieser Analyse fand Vanderbeken nach Auskunft von Heise heraus, dass es sich bei dem offenen Port
„um eine Konfigurationsschnittstelle (handelt), durch die man eine Reihe von Befehlen auf dem Router ausführen kann. Einer der Befehle etwa setzt das Gerät auf Werkeinstellungen zurück, ein anderer spuckt die Router-Konfiguration aus – mitsamt aller Passwörter im Klartext.“
Seine Ergebnisse veröffentlichte Vanderbeken bei Github. Hier wurde mit Hilfe weiterer Beteiligter ermittelt, dass die Programmierung der Schnittstelle möglicherweise von der Firma SerComm vorgenommen wurde. Eine Liste der von SerComm programmierten Router findet sich hier.
Was kann man auslesen?
Nach weiteren Recherchen durch Heise-Online und einer ausgedehnten Abfrage über die Spezialsuchmaschine Shodan fanden die Redakteuere heraus, dass
„fast 3000 IP-Adressen auf Port 32764 antworteten, 60 davon aus Deutschland.“
Bei einem weiteren Scan über die deutschen IP-Adressen fand Heise Security nach eigenen Angaben
„über 350 Router, deren komplette Konfigurationsdateien sich direkt auslesen lassen. Darin enthalten: Passwörter für den Admin-Zugang des Routers, das WLAN, den DSL-Zugang, Proxy-Server und DynDNS-Dienste. Sogar Passwörter und Zertifikate für VPNs fanden sich auf einigen Geräten.“
Wer ist betroffen?
Betroffen sind in Deutschland, nach Angaben von Heise Online, vor allem Router der Firmen SerComm, Cisco, Linksys und Netgear. Aber auch auf anderen Routern wurde dieser offene Port bereits vereinzelt festgestellt. Eine entsprechende Liste findet sich unter githup.
Um zu testen, ob Ihr Router diesen offenen Port aufweist, stellt Heise unter http://www.heise.de/ einen allgemeinen Netzwerkcheck zur Verfügung. Sollte dieser Check einen offenen Port melden, kann anhand eines ebenfalls enthaltenen speziellen „Backdoor Test“ überprüft werden, ob das System tatsächlich über diese Backdoor antwortet.
Warum ist ein offener Port problematisch?
Ports sind sog. Meta-Informationen, die im Netzwerkprotokoll enthalten sind. (wikipedia). Die Ports werden bei der Datenübertragung mitgesendet um so Datenpakete entsprechend addressieren und ausgewerten zu können.
Ist ein Port ungeschützt aus dem Internet für Dritte erreichbar, bietet er, neben der Möglichkeit unbefugt Informationen auslesen zu können, Dritten ebenfalls die Möglichkeit, diese Schnittstellen zum Einschleusen von Malware und Trojanern zu missbrauchen. So könnten Hacker diese Backdoor nutzen, um z.B. den DNS-Server im Router zu ändern und so den gesamten Internetverkehr umzuleiten.
Was wurde unternommen?
Bereits nach Auffinden dieses Risikos wurden die betroffenen Hersteller durch Heise angeschrieben und um eine Stellungnahme gebeten. Nach Auskunft von Heise-Online habe ein Sprecher des zu Belkin gehörenden Netzwerkausrüsters Linksys zwischenzeitlich mitgeteilt, dass man sich des Problems bewusst sei und an einer Beseitigung arbeite. Auch weitere Hersteller, wie Cisco und Netgear haben sich dieses Problems mittlerweile angenommen.
Zudem wurde das CERT-Bund, zu dessen Aufgaben der Betrieb eines Warn- und Informationsdienstes über Schwachstellen und Sicherheitslücken gehört, durch Heise Online informiert und gebeten, eine entsprechende Warnung aufzunehmen.
Was kann der einzelne Anwender tun?
Für den einzelnen Anwender bestehen derzeit nur wenige Handlungsmöglichkeiten, da er hier vom Reaktionswillen der Hersteller abhängig ist. Sollten Sie diese Backdoor auch bei Ihrem Router feststellen, informieren Sie sich bitte bei Ihrem Hersteller über ein zeitnahes Update der Firmware und spielen Sie diese ein, soweit dies nicht automatisch geschieht. Solange dieses jedoch nicht vorliegt, rät Heise Online den Nutzern:
„den Router für die Dauer des Bestehens dieses Sicherheitsrisikos sofort außer Betrieb zu nehmen.“