Risiko Router

Kriminelle nehmen Router ins Visier

Praxis & Tipps | Praxis

Aus einem bislang eher theoretischen Szenario ist jetzt Realität geworden. Angreifer nutzen bekannte und unbekannte Router-Lücken aus, um horrende Telefonkosten zu ihren eigenen Gunsten zu generieren. Wer nicht zum Opfer werden will, muss handeln, denn das ist nur eine der aktuellen Bedrohungen.

Der Router verteilt nicht nur Internet über LAN und WLAN, er erfüllt auch eine wichtige Schutzfunktion als Firewall: Alle Angriffe laufen zunächst einmal bei ihm auf. Eine Weiterleitung von Datenpaketen an die Rechner im lokalen Netz findet nur statt, wenn eine solche explizit eingerichtet wurde. Seine zentrale Rolle macht den Router allerdings selbst zu einem verlockenden Angriffsziel: Frei nach dem Motto „Haste einen, haste alle“, hat ein Router-Einbrecher den Datenverkehr des gesamten Netzwerks unter seiner Kontrolle. Dient der Router auch als VoIP-Telefonanlage, kann der Angreifer außerdem kostspielige Telefonate auf fremde Kosten führen. Solange die Verfügbarkeit des Internets nicht beeinträchtigt wird, ist die Wahrscheinlichkeit, dass der Einbruch auffliegt, gering. Es gibt bis dato keine Möglichkeit, Router-Manipulationen automatisch, etwa per Antivirus-Software, zu erkennen.

Dass die Angreifer inzwischen mit großer krimineller Energie daran arbeiten, Router-Schwachstellen zu finden und zu Geld zu machen, ist spätestens seit Anfang des Jahres belegt: Nachdem einigen Fritzbox-Besitzern horrende Telefonrechnungen durch Auslands-Telefonate und Premium-Rufnummern entstanden sind, stellte sich heraus, dass es sich um eine professionell vorbereitete Angriffswelle handelt, in deren Mittelpunkt eine bis dato unbekannte Sicherheitslücke steht. Die Täter fanden eine Schwachstelle, die seit Jahren in der Fritzbox-Firmware schlummerte und laut AVM nicht einmal von vier externen Sicherheitsfirmen aufgespürt worden war. Allein bei einem c’t bekannten regionalen Telefonanbieter sind über 200 000 Euro Schaden entstanden. Der Gesamtschaden dürfte in die Millionen gehen.

Obwohl AVM zügig Sicherheitsupdates für alle betroffenen Modelle lieferte, stießen wir Ende März bei einem Kurztest in verschiedenen DSL-Netzen noch auf etliche verwundbare, also nicht aktualisierte Fritzboxen: 100 000 lieferten uns konkrete Versionsinformationen, davon waren rund 30 000 – also fast jede Dritte – verwundbar. AVM selbst erklärt, dass mittlerweile nur noch weniger als 20 Prozent der verkauften Geräte verwundbar seien. Egal, welche Prozentzahl man nimmt: Angesichts der enormen Verbreitung der Fritzbox, man geht von einem Marktanteil von über 50 Prozent aus, bedeuten beide, dass immer noch Millionen von Geräten anfällig sind.

Das zeigt, dass sich noch nicht genug herumgesprochen hat, dass man den Router – genau wie seit jeher den Rechner – regelmäßig warten und mit Updates versorgen muss. Wer immer noch eine verwundbare Fritzbox betreibt, muss mit unangenehmen Konsequenzen rechnen: Seit Anfang März kursieren im Netz alle Informationen, die ein Angreifer benötigt, um die Lücke auszunutzen. Der Angriffs-Code kann potenziell auf jeder Webseite lauern – auch auf jenen, die für gewöhnlich sauber sind. Sogar über HTML-Mails funktioniert die Attacke.

Lückenhaft

Lücken in der Router-Firmware sind jedoch keinesfalls ein exklusives AVM-Problem. Fast jeder Hersteller war schon mindestens ein Mal betroffen. Anfang März hat es unter anderem Geräte von D-Link im großen Stil erwischt: Der Admin einer in Deutschland und Österreich vertretenen Restaurantkette informierte uns darüber, dass innerhalb einer Nacht alle 19 D-Link-Router in den Filialen manipuliert wurden. Die Geräte waren nicht ohne Weiteres zu finden, hatten also nicht etwa aufeinanderfolgende öffentliche IP-Adressen, sondern waren im Adressbereich der Telekom verteilt. Das bedeutet, dass die Angreifer höchstwahrscheinlich auch alle anderen verwundbaren Router in diesem Bereich gekapert haben.

In den Restaurants kam das D-Link-Modell DSL-321B zum Einsatz, das der Hersteller als DSL-Modem vermarktet. Es lässt sich jedoch auch in einen Router-Modus versetzen – einschließlich aller damit verbundenen Risiken. Die Angreifer haben den eingestellten DNS-Server verändert und konnten so den gesamten Internetverkehr auf sich umleiten, mitlesen und manipulieren. Sie konnten sogar das Zustandekommen von verschlüsselten Verbindungen verhindern, was oft dazu führt, dass die Daten im Klartext übertragen werden. Als wir D-Link befragten, konnte sich das Unternehmen die Angriffe zunächst nicht erklären. Kurz darauf entdeckte die Firma jedoch eine Monate alte Firmware auf ihrem FTP-Server, welche die Geräte zwar absicherte, aber gleichzeitig auch ein neues Sicherheitsloch aufriss. Wenig später lieferte der Hersteller eine Lösung in Form eines weiteren Updates. Es ist bereits auf Ende 2013 datiert, war zuvor jedoch nicht öffentlich erhältlich.

Die Modem-Router wurden anfangs mit einer Firmware ausgeliefert, in der eine fatale Sicherheitslücke klafft. Betroffen ist der Embedded-Webserver Allegro RomPager, der die Admin-Oberfläche ausliefert. Sendet man diesem eine simple HTTP-Anfrage, schickt er einen Export der Router-Konfiguration zurück, der auch das Admin-Passwort enthält. Bei der ersten Firmware ist das Web-Interface auch noch über das Internet zugänglich – selbst dann, wenn der Router-Besitzer dies in den Einstellungen deaktiviert. So konnten die Angreifer die verwundbaren Modem-Router bequem aus der Ferne aufspüren und übernehmen.

Das ganze Ausmaß der Katastrophe zeigte sich, als wir das Netz nach weiteren, für diese Lücke anfälligen Geräten durchsuchten. Den verwundbaren Server nutzen neben D-Link nämlich noch diverse weitere bekannte Hersteller wie LevelOne, TP-Link und Zyxel. Bei sehr vielen dieser Router ist das Web-Interface über das Internet ansprechbar: Weltweit konnten wir etwa 24 Millionen potenziell verwundbare Geräte aufspüren; davon allein 100 000 in Deutschland. Für einige der betroffenen Modelle gab es seit Jahren kein Firmware-Update. TP-Link schickte uns eine Liste mit gleich 30 betroffenen Modellen, für die „sukzessive Sicherheitsupdates zum Download bereitstehen“ sollen.

Stichproben zeigten, dass herstellerübergreifend fast alle Geräte tatsächlich anfällig waren. Innerhalb von Minuten hätten wir eine Router-Armee aus Hunderten Einheiten aufstellen können, die Befehle bereitwillig, aber stillschweigend ausführt. Allerdings sind auf diese Idee offenbar auch schon andere gekommen: Viele der Router waren bereits gekapert. Das konnten wir an dem eingestellten DNS-Server 37.1.206.9 erkennen, der sich auch in den Modem-Routern der Restaurantkette fand. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Kommentare

Artikelstrecke
Anzeige
Artikel zum Thema
Anzeige