SOHO-Router mit Hintertür
Eloi Vanderbeken hat auf seinem Linksys WAG200G Router eine Hintertür auf TCP-Port 32764 entdeckt, nach seinem Bericht wurden weitere betroffene Geräte gemeldet. Über die Backdoor können verschiedene Befehle ausgeführt werden, einschließlich dem Öffnen einer Shell und dem Auslesen oder Ändern der Konfiguration.
Ein vergessener Testzugang?
Nach der Verbindungsaufnahme melden sich die betroffenen Geräte mit der
Kennung ScMM
, was auf SerComm
hindeuten könnte,
von denen manche der betroffenen Geräte
stammen.
Es könnte sich um einen während der Entwicklung genutzten Zugang
handeln, den man entweder schlicht auszuschalten vergessen hat (m.E. die
wahrscheinlichste Erklärung), oder der zur Vereinfachung des Supports
absichtlich offen gelassen wurde (aber dann hätte man sicher schon
früher davon gehört).
Ist Ihr Router betroffen?
Bei manchen betroffenen Geräte ist der Port nur aus dem LAN erreichbar, bei anderen auch (oder auch nur?) aus dem Internet.
Zum Testen, ob an dem Port ein Dienst lauscht, können Sie lokal
telnet
oder netcat
(nc
) verwenden:
telnet 32764
nc 32764
Normalerweise sollte dort kein Dienst lauschen, also keine Verbindung zu
Stande kommen. Wenn ein Dienst auf dem Port lauscht, dürfte Ihr Router
verwundbar sein. Erst recht, wenn der Dienst sich als ScMM
meldet.
Sicherheitshalber sollten Sie auf jedem Fall auch "von außen"
testen. Auch wenn kein Dienst im LAN lauscht könnte er es auf der
WAN-Schnittstelle tun. Remote ist ein Test zum Beispiel über den
Netzwerkcheck von heise Security
möglich: Dazu müssen Sie "Mein Scan"
auswählen,
den Port 32764 eintragen und den Test starten. Vorher müssen Sie
natürlich bestätigen, dass ihre eigene IP-Adresse getestet werden
darf (dabei aber nicht schummeln und die IP eines Fremden testen!). Meldet
sich Ihr Router, haben Sie ein Problem, denn irgend jemand sucht bereits
nach betroffenen Geräten. Das Internet Storm Center
meldet
eine Zunahme der Scans nach Port 32764.
Über SHODAN lassen sich aktuell ca. 8145 Geräte mit offenen Port 32764 finden. Das ist äußerst schlecht, da es meist keine Möglichkeit gibt, den Port zu schließen. Sofern der Port aus dem Internet zugänglich ist, sollte der Router besser aus dem Verkehr gezogen werden - wer weiß, wer sich darüber Zugriff aufs Lokale Netz verschafft?
Angreifbare Router - ein häufiges Problem
Das ist nicht das erste Mal, dass Router durch Hintertüren oder Schwachstellen auffallen. 2013 wurden zum Beispiel von Phil Purviance (mehrere Schwachstellen in Linksys-Routern), HD Moore (Schwachstellen in UPnP), den Independent Security Evaluators (verschiedene Schwachstellen in verschiedenen Routern, einschließlich einigen, über die die Geräte aus der Ferne übernommen werden können), Liad Mizrachi (XSS-Schwachstellen in D-Link Routern) und Craig Hefner (Hintertüren in Geräten von D-Link und Tenda) gemeldet.
Das schlimmste daran: Selbst wenn es Firmware-Updates gibt, werden die wohl nur von den wenigsten Benutzern installiert. Und das gleiche gilt natürlich für Workarounds. Wer interessiert sich schon für seinen SOHO-Router? Der wird aufgestellt, konfiguriert und vergessen, bis er irgendwann nicht mehr geht. Und wenn er dann doch mal umkonfiguriert werden muss, wurde bestimmt das Passwort längst vergessen. Siehe zum Beispiel Eloi Vanderbeken. Wann haben Sie denn zuletzt die Firmware ihres Routers auf Aktualität geprüft?
Trackbacks
Dipl.-Inform. Carsten Eilers am : Linksys, AVM, Asus - Router in Gefahr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : SOHO-Router jetzt mit versteckter Hintertür
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?
Vorschau anzeigen