Skip to content

Mal wieder nichts Gutes zu Routern...

Es gibt mal wieder einige Neuigkeiten zu Routern, und wie üblich keine guten.

Ein DoS-Botnet, aufgebaut aus Routern

Ein DoS-Botnet namens Lizard Stresser war für die DoS-Angriffe auf die Spiele-Netzwerke von Sony und Microsoft zu Weihnachten verantwortlich. Und das besteht zum größten Teil aus ungesicherten Home-Routern.

Die Angriffe auf Sony und Microsoft waren eigentlich aber gar keine Angriffe, sondern sollten der Werbung für Lizard Stresser dienen. Ob das so klug war?

Anfang 2015 nahmen die Angreifer dann auch die Website von Brian Krebs, KrebsOnSecurity, aufs Korn. Das hätten sie besser bleiben lassen sollen, denn Brian Krebs setzte sich auf die Spur der Angreifer und wurde auch fündig.

Die Router wurden über Default-Zugangsdaten oder leicht erratbare Zugangsdaten kompromittiert. Also nicht vergessen: Beim Einrichten eines Routers immer das vorhandene Default-Passwort durch ein sicheres individuelles Passwort ersetzen! Und sofern nicht benötigt, die Fernwartung ausschalten.

Ansonsten gilt das übliche: Die Firmware aktuell halten, nicht benötigte oder unsichere Dienste wie zum Beispiel WPS oder auch UPnP ausschalten, zur Konfiguration wenn möglich eine drahtgebundene Verbindung nutzen. Und natürlich für das WLAN WPA2 verwenden.

Schwachstellen im Router unterlaufen jeden Schutz

Das alles ist natürlich witzlos, wenn der Router eine Schwachstelle enthält, über die er an allen Schutzmaßnahmen vorbei kompromittiert werden kann. Wie es zum Beispiel bei den Pirelli P.DGA4001N Routern eines spanischen ISP der Fall war. Ein Angreifer kann aus dem Internet auf etliche Webseiten des Konfigurationsoberfläche zugreifen und etliche Konfigurationen ausspähen, zum Beispiel "[...] private WPA keys, WPS PINs, admin credentials, certificates, private IP range, tr069 configuration, WAN configuration, [...]". Und das ohne jede Authentifizierung, der einfache Aufruf der Seiten genügt. Die Schwachstelle wurde dem ISP und Pirelli im April 2013 mitgeteilt, passiert ist seitdem allerdings anscheinend nichts. Zumindest hat man sich nicht mit dem Entdecker der Schwachstelle in Verbindung gesetzt.

Und auch Asus-Router sind negativ aufgefallen, in der Firmware vieler Modelle gibt es eine Schwachstelle, die die Ausführung von Befehlen ohne Authentifizierung erlaubt. Zum Glück ist ein Angriff nur aus dem LAN oder WLAN möglich und nicht aus dem Internet. Aber die Cyberkriminellen werden die Schwachstelle bei Bedarf sicher gerne über einen Windows-Schädling ausnutzen, der dann den Router in lokalen Netz des infizierten Rechners kompromittiert. Ein Exploit wurde schon vor der Veröffentlichung des Advisories veröffentlicht. Wenigstens gibt es für diese Schwachstelle einen Patch: Die Firmware-Revisionen 3.0.0.4.376.3754 und neuer sind nicht betroffen.

Abhörfanatiker angehört

Alt: Rogue Access Points, also Access Points, die von Angreifern aufgestellt werden und von Benutzern für legitime APs gehalten werden. Alle darüber übertragenen Daten können dann vom Angreifer als Man-in-the-Middle mitgelesen, unterdrückt oder manipuliert werden.
Auch alt: Innen- und Sicherheitspolitiker etc., die möglichst alle Daten sammeln und speichern wollen.
Neu: Sicherheitsfanatiker, die auf einer Konferenz auf einen Rogue Access Point hereinfallen.

So geschehen in Schweden, wo Aktivisten der dortigen Piraten-Partei auf einer Konferenz von Sicherheitspolitikern etc. einen offenen AP mit dem Namen "Open Guest" aufgestellt und den darüber laufenden Traffic mitgeschnitten haben. Da die auf der Konferenz mehr Überwachung gefordert haben werden sie da ja sicher nichts dagegen haben, nicht wahr?

Eigentlich wäre das ja keine Meldung wert, denn was so richtig paranoide Sicherheitsfanatiker sind, die nutzen ja sicher VPN und die Abhörer sehen nur den verschlüsselten Datenstrom. Von wegen, die greifen auch schon mal ungeschützt auf ihre Mailserver zu. Und auch aus den Metadaten lassen sich interessante Schlüsse ziehen.

Anzeichen von Terror-Planungen wurden in den aufgezeichneten Daten nicht gefunden. Also ich finde mich von den Überwachungsfanatikern ja doch ab und zu terrorisiert. Zum Beispiel, weil sie wegen der Anschläge in Frankreich hier in Deutschland möglichst schnell die Vorratsdatenspeicherung wieder einführen wollen. Obwohl Frankreich die hat und die Anschläge damit eben gerade nicht verhindert werden konnten. Jeder normal denkende Mensch würde daraus ja schließen, dass die Vorratsdatenspeicherung in diesem Fall also völlig nutzlos war. Nicht so die Sicherheitspolitiker, die nutzen jede noch so unpassende Gelegenheit, mehr Überwachung zu fordern. Ob die gar nicht merken, dass sie sich damit lächerlich machen?

Carsten Eilers

Trackbacks