Sicherheitsforscher warnen vor weltweiten Angriffen auf eine UPnP-Lücke in einigen Routern von beispielsweise D-Link und TP-Link.

Unbekannte Angreifer nehmen derzeit gezielt ungepatchte Router von verschiedenen Herstellern ins Visier, um diese in das BCMUPnP_Hunter-Botnetz aufzunehmen. Derzeit soll das Botnetz aus 100.000 gekaperten Geräten bestehen, die im Verbund Spam-Mails versenden.

Darauf sind Sicherheitsforscher von Netlab gestoßen. In einem Bericht gehen sie davon aus, dass die Zahl von infizierten Geräten rasant steigen wird. Ihnen zufolge erfolgen die Zugriffe auf verwundbare Router weltweit – darunter befinden sich auch Ziele in Deutschland. Die meisten Attacken soll es in China, Indien und den USA geben.

Angriffe auf 116 Router-Modelle

In einem Blog-Beitrag listet Netlab 116 bedrohte Modelle auf. Darunter sind beispielsweise Geräte von Broadcom, D-Link, Linksys, TP-Link und Zyxel. Das Besondere daran ist, dass die Lücke schon fünf Jahre alt ist und viele Router offensichtlich noch nicht abgesichert sind. Besitzer von betroffenen Routern sollten sicherstellen, dass sie die aktuelle Firmware installiert haben.

Bei der Schwachstelle handelt es sich um eine UPnP-Lücke. Damit ein Angriff erfolgreich ist, muss die UPnP-Funktion im Router aktiviert sein. Über Universal Plug and Play (UPnP) können beispielsweise Geräte in einem Netzwerk miteinander kommunizieren und ohne Zutun des Nutzers dafür nötige Ports öffnen. Die Funktion war in der Vergangenheit schon oft ein Sprungbrett für Angreifer.

Den Bedrohungsgrad haben Sicherheitsforscher von Defensecode 2013 mit "kritisch" eingestuft. Angreifer sollen den verwundbaren UPnP Stack von Broadcom aus der Ferne ohne Authentifizierung attackieren können. Eine präparierte SOAP-Anfrage soll zu einem Speicherfehler führen, was in der Ausführung von Schadcode mit Root-Rechte auf dem Router resultiert. Weitere Details zur Schwachstelle kann man in der Sicherheitswarnung von Defensecode nachlesen. (des)