Skip to content

Router-Schwachstellen aktuell: Ein Router-Wurm und Angriffe auf Netgear-Router

Aus aktuellen Anlass gibt es heute zwei aktuelle Angriffe auf bzw. Schwachstellen in Routern:

1. Oktober - Ein Wurm infiziert Router und mehr

Symantec hat auf einen Wurm hingewiesen, der Router und andere Geräte des IoT infiziert. Der Linux.Wifatch genannte Schädling wurde erstmals im November 2014 entdeckt und näher beschrieben.

Symantec hat in letzter Zeit vermehrt Router und allgemein IoT-Geräte entdeckt, die mit dem Wurm infiziert sind. Grund genug, sich den genauer anzusehen. Denn Wifatch unterscheidet sich in einem entscheidenden Punkt von üblicher Schadsoftware, die die infizierten Geräte zum Beispiel in eine Botnet einbindet um darüber Distributed DoS-Angriffe durchzuführen: Wifatch bindet die infizierten Geräten in ein Peer-to-Peer-Netzwerk ein, das dazu dient, Updates und Informationen zu verteilen, um weitere Angriffe abzuwehren.

Aber fangen wir am Anfang an. Wifatch ist zum größten Teil in Perl geschrieben und greift verschiedene Architekturen an. Für die der Wurm jeweils seinen eigenen Perl-Interpreter mitbringt. Die Infektion der Geräte erfolgt über Telnet und andere Protokolle, wobei eine Reihe von Default-Passwörtern und "dumme" Passwörter ausprobiert werden.

Anstatt Schadcode enthält der Wurm hartcodierte Routinen, die die infizierten Geräte absichern. Zum Beispiel wird der Telnet-Daemon beendet und die Benutzer werden aufgefordert, Passwörter zu ändern und Firmwareupdates zu installieren. Außerdem gibt es ein Modul, das versucht, bereits vorhandene Schadsoftware zu entfernen. Und für die Video-Überwachungssysteme Dahua DVR CCTV gibt es ein Modul, das die Geräte einmal wöchentlich neu startet, vermutlich, weil man sie nicht vor Infektionen schützen kann und der Reboot zumindest die Dauer einer möglichen Infektion begrenzt.

Auch über das mehrere Monate beobachtete P2P-Netzwerk wurde kein Schadcode verbreitet. Allerdings installiert der Wurm auch einige Hintertüren, über die der Autor auf die Geräte zugreifen könnte.

Am 5. Oktober hat der Wurm-Autor sich zu Wort gemeldet und später auch den Sourcecode (ohne die Infektions-Routinen, um einen Missbrauch zu verhindern) samt FAQ auf GitHub veröffentlicht. Der Wurm wurde aus verschiedenen Gründen geschrieben: Zum Lernen, zum Verstehen, aus Spass und nicht zuletzt, um die Sicherheit aller zu erhöhen. Da er sich nur über unsichere Zugangsdaten verbreitet, infiziert er nur eigentlich ungeschützte Geräte (ein bekanntes oder leicht erratbares Passwort ist so gut wie kein Passwort).

Das ist zwar alles gut gemeint, aber trotzdem ein Angriff. Allein schon der Reboot kann unschöne Folgen haben - wer weiß schon, was das Gerät gerade macht, wenn es neu gestartet wird? Außerdem: Von fremden Geräte hat man die Finger zu lassen, wenn man keine Erlaubnis hat, an ihnen rum zu spielen. Egal ob man es nun gut meint oder nicht.

Ach, und fast hätte ich es vergessen: Da haben wir sie mal wieder, die allseits beliebten Default-Zugangsdaten. Also: Zugangsdaten ändern nicht vergessen. Wenn es denn geht und sie nicht hart-kodiert sind wie bei manchen hier schon gemeldeten Routern.

Mitunter schützt aber das beste Passwort nicht vor einem Angriff, da sich die Authentifizierung umgehen lässt. Zum Beispiel im folgenden Fall:

6. Oktober - Umgehen der Authentifizierung von Netgear-Routern

Compass Security hat herausgefunden, dass sich die Authentifizierung von verschiedenen Netgear-Routern ausschalten lässt. Dazu muss nur eine bestimmte URL mehrmals aufgerufen werden. Das funktioniert unabhängig von der Konfiguration des Routers.

Die Schwachstelle wurde Netgear gemeldet, dort war man aber nicht besonders kooperativ (das scheint bei Router-Herstellen eine weit verbreitete Einstellung zu sein). Netgear arbeitete zum Zeitpunkt der Veröffentlichung des Advisories durch Compass Security noch an einem Update. Da die Schwachstelle aber bereits anderswo veröffentlicht wurde, hat Compass Security nachgezogen.

Betroffen sind (mindestens) die Firmware-Versionen N300_1.1.0.31_1.0.1 und N300-1.1.0.28_1.0.1 sowie alle Geräte, die sie verwenden. Das sind sehr wahrscheinlich die folgenden Geräte:

  • JNR1010v2
  • JWNR2000v5
  • JWNR2010v5
  • WNR1000v4
  • WNR2020
  • WNR2020v2
  • WNR614
  • WNR618

Wie sich nach der Veröffentlichung des Security Advisories durch Compass Security herausstellte, wurde die Schwachstelle schon seit einiger Zeit von Cyberkriminellen ausgenutzt. Bei der Analyse der Daten auf einem Command&Control-Server stellte sich heraus, dass mehr als 11.000 Router kompromittiert sind. Das ist interessant, denn laut Netgear sind weniger als 5.000 Geräte von der Schwachstelle betroffen. Das passt ja nicht ganz zusammen. Wenn ich raten darf: Netgear hat nur die Geräte gezählt, die noch im Verkauf sind oder für die es Firmware-Updates gibt und den Rest unter den Tisch fallen lassen.

Netgear hat am 12. Oktober ein Firmware-Update veröffentlicht, das die Schwachstelle behebt. Die neue Firmware Version 1.1.0.32 ist für folgende Geräte verfügbar:

  • JNR1010v2
  • JWNR2000v5
  • JWNR2010v5
  • WNR2020
  • WNR614
  • WNR618

Wenn Sei ein betroffenes Gerät haben und es ein Update gibt, sollten Sie das schnellstmöglich installieren. Wenn es für Ihr Gerät kein Update gibt, haben Sie ein Problem. Sicherheitshalber sollten sie es dann so bald wie möglich ersetzen, denn sonst müssen Sie damit rechnen, dass die Cyberkriminellen zum Beispiel ihre DNS-Abfragen umleiten und Sie auf bösartige Seiten schicken.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Router-Schwachstellen 2015, Teil 12: Die Schwachstellen im September und Oktober

Vorschau anzeigen
So langsam muss diese Serie über die 2015 entdeckten Schwachstellen in SOHO-Routern mal zu einem Ende kommen. Daher geht es ab dieser Folge quasi im "Schnelldurchlauf" durch die Monate September bis Dezember. Mit kurzen Pausen bei besonders beme

Dipl.-Inform. Carsten Eilers am : Die Router-Schwachstellen des Jahres 2015 als eBook

Vorschau anzeigen
Die Übersicht über die Router-Schwachstellen des Jahres 2015 ist komplett. Allerdings auch etwas unübersichtlich: Filet-o-Firewall - ein neuer browserbasierter Angriff auf die Firewall Router-Schwachstellen 2015, Teil