In vielen Routern entdeckte Michael Messner Schwachstellen.
In vielen Routern entdeckte Michael Messner Schwachstellen. (Bild: Karelgrisen, CC-BY 3.0)

Router-Sicherheit Horrorgeschichten aus dem heimischen LAN

Viele Consumer-Geräte lassen sich per Web-Interface bequem konfigurieren, doch sie haben teilweise haarsträubende Sicherheitslücken. Insbesondere die Router sind angreifbar. Aber die Hersteller reagieren kaum, sagt Sicherheitsexperte Michael Messner.

Anzeige

Wahre Horrorgeschichten hat der Sicherheitsexperte und Pentester Michael Messner in seinem Vortrag auf der Sigint 2013 in Köln erzählt. "Alle Verbrechen, die in den vergangenen 15 Jahren in der IT-Security begangen wurden, finden sich auch in den Routern", sagte Messner. Bereits im Frühjahr hatte er auf gefährliche Sicherheitslücken aufmerksam gemacht, die D-Link zu einem Update zwangen. Auf der Sigint zeigte Messner in seinem sehr unterhaltsamen Vortrag auch ein neues Angriffsszenario anhand von Universal Plug-and-Play (UPnP).

Die Probleme von UPnP sind bekannt. Es ermöglicht zwar, komfortabel auf dem Router Port-Forwarding einzurichten, um Dienste auf einem PC wie VoIP oder Filesharing mit dem Internet zu verbinden. Aber der Komfort hat seinen Preis aufseiten der Sicherheit. Delikat wird das Problem durch weit verbreitete veralte Bibliotheken, die bekannte Lücken beinhalten. Messner zeigte, wie man mit dem Exploit-Framework Metasploit einen Router angreift, und demonstrierte es live an einem D-Link DIR-645 WLAN-Router.

Shell-Befehle per HTTP

Dazu untersuchte er zunächst die Firmware des Routers und analysierte die implementierten UPnP-Funktionen. Für neue Port-Freigaben wurde ein Iptables-Aufruf mit anpassbaren Werten an ein PHP-Skript namens command.php übergeben, das die Befehle ungefiltert auf der Shell ausführte - natürlich mit Root-Rechten. Alle dazu notwendigen Informationen fand Messner in der vom UPnP-Dienst ausgelieferten XML-Datei, die er mit dem UPnP-Client Miranda abfragte. Ziel war nun, eine Netcat-Shell über Wget oder TFTP auf dem Router unterzubringen. Da die Router die MIPS-Architektur verwenden, können nicht einfach die vorhandenen x86-Tools rübergeschoben werden. Zum Kompilieren der entsprechenden Tools braucht man eine passende Toolchain. Messner warnt: "Eine Toolchain selber zu bauen, kann schmerzhaft sein." Doch die GPL schreibt vor, dass die Hersteller auch die Toolchain zur Verfügung stellen müssen. Damit sei es leicht, den entsprechenden Payload, also den unterzujubelnden Code, zu erzeugen. Dieser soll in den nächsten Tagen auch im Sicherheits-Framework Metasploit verfügbar sein.

Messner untersuchte eigenen Angaben nach 30 Router unterschiedlicher Hersteller. Bei ausnahmslos allen Geräten fand er Lücken und konnte die Kontrolle erlangen. Viele der für die Angriffe benötigten Informationen zeigt die Login-Maske des Webinterfaces bereits an, etwa Gerätetyp oder Hardware-Revision. Auch an die Kernel-Version kommt man ohne große Mühen, etwa durch eine vom Router frei abrufbare Textdatei oder gar den HTTP-Serverbanner. Praktischerweise lassen sich so die angreifbaren Systeme mit einer Suchmaschine wie Shodan auffinden. So gab es bereits in der Vergangenheit erfolgreiche Massenangriffe auf Router, um Bankdaten und andere Kontodaten mittels manipulierter DNS-Einträge abzugreifen.

Updates werden verschwiegen

Von den Herstellern erwartet Messner gar keine Hochsicherheitsgeräte. Ein mittleres Sicherheitsniveau hält er bereits für ausreichend. Aufgrund des Preisdrucks und der zu geringen Gewinnmarge, geht Messner aber davon aus, dass Sicherheit keinen hohen Stellenwert in der Agenda der Router-Produzenten hat. Updates sind selten, kommen recht spät, wenn überhaupt, und auch nur für kurze Zeit. Sind sie verfügbar, lassen sie sich selten automatisch einspielen. Beim Aktualisieren kann es zudem passieren, dass alle Einstellungen verloren gehen, was den Anreiz zum Einspielen der Updates weiter verringert. Auch die Überprüfungen nach vorhandenen Updates sind laut Messner oft unzuverlässig. Hinzu kommt, dass die Hersteller Updates oft gar nicht kommunizieren und in den Release-Notes nicht auf geschlossene Sicherheitslücken hinweisen. Wer vermutet hinter einer überarbeiteten Elternkontrolle schon ein kritisches Sicherheitsupdate? Bei all diesen Hindernissen ist es kein Wunder, dass von 8.000 aus dem Internet erreichbaren D-Link Routern lediglich 178 das Update eingespielt hatten.

Wer es sich zutraut, dem rät Messner dringend zu einer alternativen Firmware wie OpenWrt. Hier pflegt eine Community über einen sehr langen Zeitraum die Software auch für Router, die längst nicht mehr im Handel sind, und ist dankbar für Hinweise und Verbesserungsvorschläge. Demgegenüber reagierte D-Link Messner zufolge erst auf seine Hinweise, als in der Presse über die Lücken berichtet wurde. Wer keine Wahl hat, sollte zumindest tunlichst vermeiden, dass das Webinterface auch aus dem Internet zugänglich ist, und UPnP abschalten. Die bei seinem Vortrag anwesenden Hacker rief Messner auf, Router und andere Geräte mit Netzwerkschnittstelle genau zu untersuchen, um so die Hersteller zu mehr Sorgfalt zu zwingen. Er selbst habe zwei Router von AVM auf dem Tisch liegen, die er untersuchen wolle, sagte er.


Atalanttore 12. Jul 2013

Woher weißt du das, wenn es nicht für die Öffentlichkeit bestimmt ist?

berritorre 09. Jul 2013

Hat mich jetzt interessiert und da hatte mich mein Kollege wohl falsch informiert. Der...

itbane 09. Jul 2013

Denen würde ich aber auch nicht vertrauen. Wenn man sich die ehemalige ssh...

Erdie 08. Jul 2013

Ja, und haben alte dd-wrt Versionen keine Sicherheitslücken? ich benutze auch sowas auf...

Phreeze 08. Jul 2013

noch schlimmer ist es wenn die Provider billigschrott aus Fernost mitgeben, der null...

Kommentieren



Anzeige

  1. Facharchitektin / Facharchitekt
    Landeshauptstadt München, München
  2. SAP-CRM-Applikationsbetreuer (m/w)
    BRUNATA Wärmemesser GmbH & Co. KG, München
  3. Mitarbeiter (m/w) technischer Filialsupport
    Dänisches Bettenlager GmbH & Co. KG, Handewitt bei Flensburg
  4. CRM Entwickler / Administrator (m/w)
    Nemetschek Allplan Systems GmbH, München

 

Detailsuche


Folgen Sie uns
       


  1. Elektroautos

    Tesla will Akkufabrik in Deutschland bauen

  2. Studie

    Mädchen interessieren sich quasi gar nicht für IT-Berufe

  3. Taxi-Konkurrenz

    Uber will Gesetzesreform

  4. Star Citizen

    Virtuelles Raumschiff für 2.500 US-Dollar

  5. Patentstreit

    Samsung fordert Importverbot für Nvidia-GPUs

  6. Spieleklassiker

    Retrogolem spielt Star Wars X-Wing (DOS)

  7. Panasonic Lumix DMC-LX100 im Test

    Kamera zum Begeistern und zum Verzweifeln

  8. Kanzlerhandy

    Bundesanwaltschaft will NSA-Ermittlungsverfahren einstellen

  9. Internetsuche

    EU-Parlamentarier erwägen Google-Aufspaltung

  10. 15 Jahre Unreal Tournament

    Spiel, Bot und Sieg



Haben wir etwas übersehen?

E-Mail an news@golem.de



Schlaf gut, Philae: Die aufregenden letzten Tage des Kometenlanders
Schlaf gut, Philae
Die aufregenden letzten Tage des Kometenlanders
  1. Rosetta-Mission Philae ist im Tiefschlaf
  2. Philae Kometen-Lander driftet ab
  3. Philae Erstes Raumschiff landet auf einem Kometen

Chaos Computer Club: Der ungeklärte Btx-Hack
Chaos Computer Club
Der ungeklärte Btx-Hack
  1. Geheimdienst BND möchte sich vor Gesichtserkennung schützen
  2. Sicherheitstechnik Wie der BND Verschlüsselung knacken will
  3. BND-Kauf von Zero Days CCC warnt vor "Mitmischen im Schwachstellen-Schwarzmarkt"

Core M-5Y70 im Test: Vom Turbo zur Vollbremsung
Core M-5Y70 im Test
Vom Turbo zur Vollbremsung
  1. Prozessor Schnellster Core M erreicht bis zu 2,9 GHz
  2. Die-Analyse Intels Core M besteht aus 13 Schichten
  3. Yoga 3 Pro Lenovos erstes Convertible mit Core M wiegt 1,2 Kilogramm

    •  / 
    Zum Artikel