Dipl.-Inform. Carsten Eilers

Nach der Verbindungsaufnahme melden sich die betroffenen Geräte mit der Kennung ScMM, was auf SerComm hindeuten könnte, von denen manche der betroffenen Geräte stammen. Es könnte sich um einen während der Entwicklung genutzten Zugang handeln, den man entweder schlicht auszuschalten vergessen hat (m.E. die wahrscheinlichste Erklärung), oder der zur Vereinfachung des Supports absichtlich offen gelassen wurde (aber dann hätte man sicher schon früher davon gehört).

Ist Ihr Router betroffen?

Bei manchen betroffenen Geräte ist der Port nur aus dem LAN erreichbar, bei anderen auch (oder auch nur?) aus dem Internet.

Zum Testen, ob an dem Port ein Dienst lauscht, können Sie lokal telnet oder netcat (nc) verwenden:

telnet  32764
nc  32764

Normalerweise sollte dort kein Dienst lauschen, also keine Verbindung zu Stande kommen. Wenn ein Dienst auf dem Port lauscht, dürfte Ihr Router verwundbar sein. Erst recht, wenn der Dienst sich als ScMM meldet.

Sicherheitshalber sollten Sie auf jedem Fall auch "von außen" testen. Auch wenn kein Dienst im LAN lauscht könnte er es auf der WAN-Schnittstelle tun. Remote ist ein Test zum Beispiel über den Netzwerkcheck von heise Security möglich: Dazu müssen Sie "Mein Scan" auswählen, den Port 32764 eintragen und den Test starten. Vorher müssen Sie natürlich bestätigen, dass ihre eigene IP-Adresse getestet werden darf (dabei aber nicht schummeln und die IP eines Fremden testen!). Meldet sich Ihr Router, haben Sie ein Problem, denn irgend jemand sucht bereits nach betroffenen Geräten. Das Internet Storm Center meldet eine Zunahme der Scans nach Port 32764.

Über SHODAN lassen sich aktuell ca. 8145 Geräte mit offenen Port 32764 finden. Das ist äußerst schlecht, da es meist keine Möglichkeit gibt, den Port zu schließen. Sofern der Port aus dem Internet zugänglich ist, sollte der Router besser aus dem Verkehr gezogen werden - wer weiß, wer sich darüber Zugriff aufs Lokale Netz verschafft?

Angreifbare Router - ein häufiges Problem

Das ist nicht das erste Mal, dass Router durch Hintertüren oder Schwachstellen auffallen. 2013 wurden zum Beispiel von Phil Purviance (mehrere Schwachstellen in Linksys-Routern), HD Moore (Schwachstellen in UPnP), den Independent Security Evaluators (verschiedene Schwachstellen in verschiedenen Routern, einschließlich einigen, über die die Geräte aus der Ferne übernommen werden können), Liad Mizrachi (XSS-Schwachstellen in D-Link Routern) und Craig Hefner (Hintertüren in Geräten von D-Link und Tenda) gemeldet.

Das schlimmste daran: Selbst wenn es Firmware-Updates gibt, werden die wohl nur von den wenigsten Benutzern installiert. Und das gleiche gilt natürlich für Workarounds. Wer interessiert sich schon für seinen SOHO-Router? Der wird aufgestellt, konfiguriert und vergessen, bis er irgendwann nicht mehr geht. Und wenn er dann doch mal umkonfiguriert werden muss, wurde bestimmt das Passwort längst vergessen. Siehe zum Beispiel Eloi Vanderbeken. Wann haben Sie denn zuletzt die Firmware ihres Routers auf Aktualität geprüft?

Carsten Eilers