zurück zum Artikel

Exploit-Kit greift über 50 Router-Modelle an Update

Exploit-Kit greift über 50 Router-Modelle an

Wer einen unsicher konfigurierten Router betreibt, könnte schon bald Probleme bekommen: Ein Virenforscher hat ein Exploit-Kit entdeckt, das zahlreiche Router-Modelle bekannter Hersteller angreifen kann.

Online-Angreifer nutzen ein bisher unbekanntes Exploit-Kit[1], um über 50 Router-Modelle zu attackieren. Wie der Virenforscher Kafeine berichtet, versucht es Schwachstellen im Router auszunutzen, um den eingestellten DNS-Server zu manipulieren. So können die Angreifer den Internetverkehr ihrer Opfer umleiten.

Das Exploit-Code probiert diverse Standardpasswörter durch, sofern es keine zum Einstieg in den Router geeignete Sicherheitslücke findet. (Bild: Malware don't need Coffee)

Das Exploit-Kit greift den Router über den Browser an, wenn man auf einer verseuchten Webseite landet. Dabei wird verschlüsselter JavaScript-Code ausgeführt, der zunächst versucht, die interne IP-Adresse[2] des Routers und das Modell zu ermitteln. Anschließend startet das Exploit-Kit einen auf den Router zugeschnittenen Angriff. Je nach Modell versucht es entweder bekannte Sicherheitslücken auszunutzen oder es probiert Standardzugangsdaten wie admin:admin durch.

Ist der Angriff erfolgreich, ändert des Kit den im Router eingestellten DNS-Server auf eine IP-Adresse, die unter der Kontrolle der Online-Ganoven steht. Der fortan genutzte DNS-Server liefert vermutlich falsche Antworten zurück, wodurch die Täter den Datenverkehr ihrer Opfer beliebig umleiten können. Versucht das Opfer zum Beispiel Google.de zu erreichen, könnten es die Angreifer auf eine nachgebaute Google-Seite umleiten, auf der massenhaft Werbung eingeblendet wird, deren Erlöse auf das Konto der Angreifer gehen. Ferner können die Täter den manipulieren Router für Phishing oder DDoS-Angriffe missbrauchen.

Die analysierte Angriffsseite wurde an einem Tag fast eine Million Mal aufgerufen. (Bild: Malware don't need Coffee)

Die jüngste Lücke, die das Exploit-Kit auszunutzen versucht, ist gerade einmal seit drei Monaten öffentlich bekannt[3]. Wer einen betroffenen D-Link-Router besitzt, dessen Firmware nicht auf dem aktuellen Stand ist, der ist für die Cyber-Angreifer leichte Beute. Der Fund der Forscher zeigt einmal mehr, dass es nicht nur wichtig ist, dass Router-Hersteller zeitnah abgesicherte Firmware-Versionen veröffentlichen. Die Firmen müssen ihre Kunden auch aktiv über wichtige Updates informieren. Im Idealfall schaut der Router selbst nach Aktualisierungen und installiert sie auf Wunsch automatisch.

Schützen kann man sich vor solchen Angriffen, indem man sich regelmäßig davon überzeugt, dass die Router-Firmware aktuell ist. Sofern der Hersteller den Router mit einem Standardpasswort für das Webinterface ausliefert, sollte man dieses unbedingt ändern, da das Exploit-Kit auch einen Wörterbuchangriff fährt.

Update vom 27. Mai 2015, 13:20: Die am 18. Mai analysierte Version des Exploit-Kits kann Router von Asus, Belkin, D-Link, Edimax, Linksys, Netgear, TP-Link, Trendnet und Zyxel attackieren. Eine vollständige Liste der Router-Modelle[4] findet man im Blog-Beitrag des Virenforschers. AVM-Router befinden sich nicht darunter. Da das Exploit-Kit offenbar aktiv weiterentwickelt wird, ist die Liste inzwischen möglicherweise länger. Über das Web-Interface des Routers kann man überprüfen, ob der eingestellte DNS-Server manipuliert wurde. Eine Testseite von F-Secure[5] checkt, ob der aktuell genutzte DNS-Server in der Vergangenheit auffällig geworden ist. (rei[6])


URL dieses Artikels:
http://www.heise.de/-2665387

Links in diesem Artikel:
[1] http://malware.dontneedcoffee.com/2015/05/an-exploit-kit-dedicated-to-csrf.html
[2] https://diafygi.github.io/webrtc-ips/
[3] https://www.heise.de/meldung/D-Link-Luecke-klafft-seit-November-weitere-Geraete-betroffen-2563782.html
[4] http://malware.dontneedcoffee.com/2015/05/an-exploit-kit-dedicated-to-csrf.html
[5] https://campaigns.f-secure.com/router-checker/
[6] mailto:rei@heise.de