Sicherheitslücke: Linksys-Router leaken offenbar alle verbundenen Geräte

Linksys will die Sicherheitslücke bereits 2014 geschlossen haben, doch laut dem Sicherheitsforscher Troy Mursch leaken die Router weiterhin die Daten aller jemals verbundenen Geräte.

Artikel veröffentlicht am ,
Linksys-Router leaken offenbar sensible Informationen.
Linksys-Router leaken offenbar sensible Informationen. (Bild: Linksys)

Knapp drei Dutzend Routermodelle von Linksys verraten laut dem Sicherheitsforscher Troy Mursch, welche Geräte bisher mit dem Router verbunden wurden. Er konnte über 20.000 betroffene Router im Internet ausfindig machen und insgesamt 756.565 unterschiedliche MAC-Adressen auslesen. Zudem verrieten die Router, ob das Standardpasswort geändert wurde oder nicht. Linksys entgegnet, dass sie die Sicherheitslücke mit aktueller Firmware nicht reproduzieren könnten und die Lücke bereits 2014 behoben hätten. Laut Mursch lassen sich die Informationen jedoch auch mit den Patches von 2014 weiterhin auslesen. Zuerst hatte das Onlinemagazin Arstechnica berichtet.

Stellenmarkt
  1. Discover Trainee (m/w/d) eCommerce
    Vodafone GmbH, Düsseldorf
  2. IT-Administrator (m/w/d)
    BSS IT GmbH, Nürnberg
Detailsuche

Neben dem Gerätenamen, der MAC-Adresse und dem Betriebssystem konnte Mursch auch die WLAN-Einstellungen, den Status der Firewall sowie die Update-Einstellungen auslesen. Die Lücke könne jeder Internetnutzer oder Eigentümer eines der 33 betroffenen Linksys-Router leicht reproduzieren: In einem ersten Schritt müsse die IP-Adresse eines betroffenen Routers mit einem Browser geöffnet werden. Die Weboberfläche mit den Login-Feldern erscheint. Die Daten befinden sich in JNAP-Dateien, die sich über die Entwickler-Tools des Browsers direkt abrufen lassen.

Laut Mursch ist die Oberfläche der Router standardmäßig aus dem Internet zu erreichen. Dies werde für die zugehörige Linksys-App benötigt. Daher könne die Erreichbarkeit der Weboberfläche nicht ohne Weiteres eingeschränkt werden.

4.000 Router mit Standardpasswort

Bei rund 4.000 der entdeckten Router wurde laut dem Sicherheitsforscher das Standardpasswort nicht geändert. Angreifer könnten sich auf der Weboberfläche der Router anmelden und beispielsweise die verwendeten DNS-Server ändern oder die WLAN-SSID samt Passwort auslesen.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Mursch hatte die Lücke am 7. Mai an Linksys gemeldet. Der Hersteller konnte die Sicherheitslücke nicht reproduzieren und vermutet, dass Mursch die Geräte mit alter Firmware oder mit deaktivierter Firewall getestet habe. Dieser entgegnet jedoch, dass er sowohl mit den Patches von 2014 als auch mit aktivierter Firewall die Daten auslesen konnte.

Autoupdate bei 15.000 Routern aktiviert

Knapp 15.000 der gefundenen Router haben laut Mursch die Auto-Update-Funktion aktiviert. "Wenn Linksys eines Tages die Sicherheitslücke behebt, werden diese Router automatisch geschützt", schreibt Mursch. Bisher gebe es keinen Schutz gegen die Sicherheitslücke.

Ende vergangenen Jahres untersuchte das American Consumer Institute WLAN-Router von 14 Herstellern auf bekannte Sicherheitslücken. Die Hersteller integrieren häufig Open-Source-Bibliotheken in ihre Firmware. Die Studie untersuchte 186 Router auf bekannte Sicherheitslücken in diesen Bibliotheken - in vier von sechs Geräten wurden sie fündig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Bundestagswahl 2021: Laschet und Scholz wollen beide Kanzler werden
    Bundestagswahl 2021
    Laschet und Scholz wollen beide Kanzler werden

    Die Union erzielt bei der Bundestagswahl 2021 ihr bislang schlechtestes Ergebnis. Dennoch will Spitzenkandidat Laschet Kanzler einer "Zukunftskoalition" werden.

  2. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

  3. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /