Abo
  • IT-Karriere:

Security: Neu entdeckte Sicherheitslücken in vielen Routern

Zwei Sicherheitsprojekte haben sich zahlreiche Router vorgenommen und teilweise erschreckende Sicherheitslücken gefunden. Die Geräte stammen unter anderem von Belkin, Linksys, Netgear und Sitecom.

Artikel veröffentlicht am ,
Der Sitecom WLM-3500 hat zwei Backdoors.
Der Sitecom WLM-3500 hat zwei Backdoors. (Bild: Sitecom)

Zahlreiche Security-Unternehmen und unabhängige Projekte widmen sich in letzter Zeit den sogenannten Soho-Routern, die vor allem für private Netze vorgesehen sind. Fündig wurde nun die italienische Firma eMaze, die im dort verbreiteten Router WLM-3500 eine Hintertür entdeckte.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. KBV, Berlin

In der Firmware des Geräts sind ab Werk zwei Benutzerkonten angelegt, mit denen man sich auch über das Internet in die Weboberfläche einloggen kann. Danach ist es auf einfache Weise möglich, auch Adminrechte auf dem Gerät zu erlangen und somit das vermeintlich private Netz wie das eigene zu behandeln und auch beliebigen Traffic über den Router umzuleiten. Die Lücke wurde von eMaze bereits an Sitecom gemeldet, das daraufhin die Firmware 1.07 bereitstellte, die keine Backdoors mehr enthalten soll.

Das ist noch nicht bei all den Routern so, die von dem US-Unternehmen IMS untersucht wurden. Dessen Sicherheitsforscher haben insgesamt 13 Geräte untersucht, bei allen fanden sie Schwachstellen. Dokumentiert hat IMS das bisher nur für die Modelle Linksys WRT310N v2, Belkin F5D8236-4 v2, Belkin N300, Belkin N900, Netgear WNDR4700, TP-Link WR1043N, Verizon Actiontec und D-Link DIR-865L. Fünf weitere nicht genannte Modelle, mit deren Herstellern das Unternehmen noch in Kontakt steht, sollen ebenfalls Lücken aufweisen.

Manche dieser Sicherheitsprobleme lassen sich auch über das Internet ausnutzen, um wie oben beschrieben den Router zu übernehmen. Teilweise ist es dafür nötig, dass der rechtmäßige Nutzer eines Routers die Konfigurationsseite des Geräts geöffnet hat, dann kann er über präparierte Links einem Angreifer Zugang zu dem Router ermöglichen. Vorstellbar ist das beispielsweise durch Phishing-Mails, die vorgeben, vom Provider oder Routerhersteller zu stammen. Wie sich zeigt, sind neben Cross-Site-Scripting (XSS) auch andere bekannte Angriffsmethoden wie Cross-Site Request Forgery (CSRF) bei solchen Routern möglich.

IMS rät daher, sich nach Benutzen der Konfigurationsoberfläche eines Router stets bei dieser wieder abzumelden. Außerdem sollte man die voreingestellten Kennwörter für den Zugang zu dieser Oberfläche ändern und die Konfiguration über das Internet abschalten. Beides sind keine neuen Tipps, sie werden aber offenbar immer noch nicht von der Mehrzahl der Nutzer beherzigt.

Die Routerhersteller ihrerseits tun aber auch wenig dafür, das Erscheinen neuer Firmware und die Behebung von Sicherheitslücken bekanntzumachen. Automatische Updates für Firmware, wie sie beispielsweise manche Speedport-Router der Telekom beherrschen, bieten noch längst nicht alle Router.

Router registrieren und selbst nach Updates suchen

Eine Benachrichtigung der Nutzer ist auf einfachem Wege auch nicht immer möglich. Dazu müssten sich die Kunden zunächst einmal beim Hersteller registrieren, was viele Menschen wegen der Preisgabe persönlicher Daten scheuen. Gerade bei einem sicherheitsrelevanten Teil eines Netzwerkes wie einem Router ist das aber sinnvoll.

Damit bleibt, bis die Hersteller von Soho-Routern die Sicherheit ihrer Geräte ernster nehmen, nur übrig, regelmäßig von Hand auf den Webseiten der Firmen nach neuer Firmware Ausschau zu halten. Die sollte auch dann installiert werden, wenn der Hinweis auf eine behobene Lücke fehlt, oft geben die Unternehmen diesen Umstand nicht unmittelbar an.

Soho-Router sind in den vergangenen Jahren zunehmend Ziel von Hackerangriffen geworden. Schwere Lücken wiesen unter anderem viele Speedport-Modelle der Telekom auf, sowie etliche Geräte von D-Link. Eine grundlegende Lücke in vielen Geräten, die UPnP beherrschen, führte sogar zu einer Warnung des US-CERT.



Anzeige
Spiele-Angebote
  1. (-83%) 2,50€
  2. 25,49€
  3. 42,99€
  4. 4,75€

MarcoW75 08. Mai 2013

Aber zumindest würde ein Backdoor-Zugang so einige Vorkommnisse erklären. Etwa,wieso sich...

Nitram1234 30. Apr 2013

Was heißt das jetzt geanu? Bringt mir mein VPN client a la Okay Freedom gar nichts oder...

NochEinLeser 23. Apr 2013

Es gibt ein paar, aber leider nicht für die Masse an Router, sondern nur für Ausnahmefälle.

Smartcom5 23. Apr 2013

und ein Firmwareupdate ändert jetzt am Vorhandensein etwaiger geheimer Zugänge...

Smartcom5 23. Apr 2013

und ein Firmwareupdate ändert jetzt am Vorhandensein etwaiger geheimer Zugänge...


Folgen Sie uns
       


Sechs Bluetooth-Hörstöpsel im Test

Wir haben sechs neue Bluetooth-Hörstöpsel getestet. Mit dabei sind Modelle von Sennheiser, Audio Technica, Master & Dynamic sowie HMD Global. Aber auch zwei Modelle kleinerer Startups sind vertreten. Und eines davon hat uns bezüglich der Akkulaufzeit sehr überrascht. Kein anderer von uns getesteter Bluetooth-Hörstöpsel hat bisher eine vergleichbar lange Akkulaufzeit zu bieten - wir kamen auf Werte von bis zu 11,5 Stunden statt der sonst üblichen drei bis fünf Stunden.

Sechs Bluetooth-Hörstöpsel im Test Video aufrufen
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  2. Automatisierung Roboterhotel entlässt Roboter
  3. Cimon Die ISS bekommt einen sensiblen Kommunikationsroboter

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

    •  /