Dipl.-Inform. Carsten Eilers

Team Cymru hat einen Bericht (PDF) über einen groß angelegten Angriff auf Router veröffentlicht. Seit Mitte Dezember 2013 sollen in einer Vielzahl von Geräte die DNS-Einstellungen manipuliert worden sein. Innerhalb von 2 Wochen wurden über 300.000 "eindeutige IP-Adressen" von Routern gezählt, die auf die bösartigen DNS-Server zugegriffen haben. Dabei wird es sehr wahrscheinlich auch zu mehrfach gezählten Geräten gekommen sein.

Die Router wurden auf verschiedenen Wegen manipuliert, unter anderen über Standard-Passwörter für die aus dem Internet erreichbare Weboberfläche, eine Schwachstelle in der Authentifizierung einer Version der ZyXEL-Firmware und Cross-Site Request Forgery.

Angriffe auf D-Link DSL-321-Router

Laut Heise Security laufen zur Zeit Angriffe gegen D-Link-Modems des Typs DSL-321, bei denen ebenfalls die Einstellung für den DNS-Server geändert werden. Der Angriff erfolgt über die aus dem Internet erreichbare Weboberfläche. Pikanter weise lässt sich in einer Firmware-Version dieses "Feature" nicht mal ausschalten. Oder genauer: Es lässt sich ausschalten, die Weboberfläche bleibt aber trotzdem erreichbar. Abhilfe schafft ein Update der Firmware.

Drei Cisco-Geräte verraten ihr Passwort

Cisco hat eine extrem unschöne Schwachstelle in zwei Routern und einer Firewall korrigiert: Die Weboberfläche enthält den Benutzernamen und das verschlüsselte Passwort. Wird das zwei Mal an den Router gesendet, ist der zufrieden und lässt den Angreifer rein. Es ist natürlich völliger Quatsch, das Geheimnis, das man wissen will, in der Anfrage mit zu schicken. Wie kommt man nur auf so eine Idee? Das wirft kein gutes Licht auf Ciscos Entwicklungsabteilung. Außerdem stellt sich natürlich die Frage, wieso der Router das verschlüsselte Passwort überhaupt akzeptiert. Und warum erst nach dem zweiten Mal.

FRITZ!Box-"Exploit" kursiert im Internet

Laut Heise Security sind die Informationen darüber, wie die kritische Schwachstelle in FRITZ!Boxen und anderen AVM-Geräten ausgenutzt werden kann, im Internet verfügbar. Falls Sie ein betroffenes Gerät verwenden und das Update zum Beheben der Schwachstelle noch nicht installiert haben wird es jetzt höchste Zeit!

Ein WiFi-Virus, schnell wie eine Erkältung

Jonny Milliken, Valerio Selis und Alan Marshall haben untersucht, wie sich ein WiFi-Virus in den Access Points ausbreiten würde und wie man ihn erkennen könnte. Der "Chameleon" genannte Virus verbreitet sich von AP zu AP und sammelt dabei Daten über die mit dem AP verbundenen Geräte. In Simulationen wurden Belfast und London mit dem Virus infiziert, der sich vergleichbar mit einer menschlichen Erkältung ziemlich schnell ausbreitete. Dabei kam dem Virus zu Gute, dass er von keinem Virenscanner erkannt wurde, denn die sind auf solche Schädlinge (noch) nicht ausgelegt. Und Intrusion Detection/Prevention Systeme haben die meisten APs nicht. Sind die APs dann noch schlecht gesichert, sind sie ein leichtes Opfer für jeden Angreifer. Natürlich auch für einen Virus.

Schwachstellen in Routern weit verbreitet

Tripwire hat die Schwachstellen in SOHO-Routern analysiert und heraus gefunden, dass 80% der 25 auf Amazon am meisten verkaufen SOHO WLAN-Router Schwachstellen enthalten. Für 34% der angreifbaren Geräte gibt es öffentlich dokumentierte Exploits. Entzückend, nicht wahr?

Prüfen und Sichern Sie ihren Router!

Sie sollten bei Gelegenheit (also am besten gleich, was Du heute kannst besorgen verschiebe nicht auf morgen) die Konfiguration ihres Routers prüfen. Ist noch der richtige DNS-Server eingestellt? Außerdem sollten die Weboberfläche nicht aus dem Internet erreichbar und die Fernwartung ausgeschaltet sein. Falls diese Optionen eingeschaltet sind, sollten Sie sie ausschalten. Und hoffen, dass das Ausschalten auch wirkt, siehe oben. Und wenn Sie schon mal beim Router eingeloggt sind prüfen Sie doch auch gleich die Firmware-Version - ist die noch aktuell? Ansonsten ist ein Update dringend angeraten, vermutlich enthält die aktuelle Version etliche Schwachstellen.

Tripwire hat 6 Tips zur Verbesserung der Router-Sicherheit veröffentlicht (im Oktober 2013 waren es noch 5 Tips):

1. "Aktivieren Sie nicht die Fernwartung über das Internet"
   Ein guter Ratschlag, denn ich aber lieber umformuliere: Prüfen Sie den Status der Fernwartung und schalten Sie sie aus, wenn sie eingeschaltet ist. Denn das ist sie oft ab Werk. Und vergessen Sie die Konfigurationsoberfläche nicht, auch die darf nicht aus dem Internet zugänglich sein. Und am besten auch nicht über WLAN.
2. "Nutzen Sie nicht die Default-IP-Bereiche"
   Das erschwert CSRF-Angriffe, die meist auf den üblichen Standard 192.168.1.1 für den Router ausgelegt sind. Tripwire schlägt 10.9.8.7 oder ähnliches vor. Wer öfter neue Geräte ins Netz einfügt oder vorhandene Geräte resetet hat dann aber ziemlich viel Arbeit vor sich, da diese Geräte ja meist auf den Default-Standard ausgerichtet sind und erst auf den neuen Bereich umkonfiguriert werden müssen.
3. "Loggen Sie sich nach der Konfiguration des Routers aus"
   Das ist ein sehr wichtiger Rat, denn dann laufen CSRF-Angriffe ins Leere. Schlecht ist es natürlich, wenn Sie während der Konfiguration Rat im Internet suchen und dabei auf einer Seite mit einem CSRF-Angriff landen. Da sie beim Router angemeldet sind, ist der Angriff erfolgreich. Also: "Don't config and surf!"
4. "Schalten Sie Verschlüsselung ein und WPS aus"
   Eine gute Verschlüsselung, also WPA2 mit AES und einem sicheren Passwort, ist unerlässlich. Das Wi-Fi Protected Setup (WPS) dagegen ist durch eine Design-Schachstelle ein Einfallstor für Angreifer.
5. "Ändern Sie das Default-Passwort"
   Das sollte ja wohl selbstverständlich sein.
6. "Halten Sie die Router-Firmware up-to-date"
   Das wird meistens nicht gemacht. Entweder aus Unkenntnis darüber, dass es überhaupt ein Update gibt, oder weil man der alten Regel "Never touch a running System" folgt. Dieser wichtige Tipp fehlte im Oktober noch. Wie sieht es denn mit der Aktualität Ihrer Router-Firmware aus?

   Carsten Eilers