Linksys-Router mit Sicherheitslücke

Kai Schmerer,
NetzwerkeSicherheitSicherheitsmanagement
linksys-800

linksys-800Die Analyse des Firmware-Quellcodes beweist, dass zahlreiche Linksys-Router eine Schwachstelle bieten, die es Angreifern erlaubt, die Kontrolle über das Gerät zu übernehmen. Das Internet Storm Center (ICS) des Sans Institute hat bereits eine Warnung vor dieser Sicherheitslücke veröffentlicht. Demnach befällt ein mit “The Moon” bezeichneter Wurm Router von Linksys und verbreitet sich selbständig.

Die Malware gelangt über das Home Network Administration Protocol (HNAP), ein Verwaltungsprotokoll für Netzwerkgeräte, das offenbar vor allem von Internet Service Providern eingesetzt wird, in die Geräte. Das Protokoll wurde ursprünglich von Pure Networks patentiert, gehört inzwischen aber Cisco. Die Endverbrauchermarke Linksys wiederum wurde im letzten Jahr von Cisco an Belkin veräußert.

Die Verbreitung des Wurms führte das ICS auf ein unsicheres CGI-Script zurück, das zufällig gewählte Administrator-Anmeldedaten ohne Überprüfung akzeptierte. So wurde der Start eines einfachen Shell-Scripts möglich, das für das Nachladen des tatsächlichen Wurms mit einer Dateigröße von rund 2 MByte sorgte. Wurde dieser Code ausgeführt, schien der infizierte Router gezielt nach weiteren Opfern zu suchen.

Nicht eindeutig klären konnten die Sicherheitsexperten, ob der Wurm tatsächlich nur um seine eigene Verbreitung bemüht war, oder er dem Aufbau eines Botnetzes mit einem funktionierenden Kommando- und Befehlskanal diente. Einen Proof-of-Concept-Expoit veröffentlichte inzwischen der Nutzer Rew bei Exploit-db.com. Er rechtfertigte diesen Schritt mit einer Diskussion auf der Social-News-Site Reddit, dank derer “die Katze aus dem Sack” sei.

Der Exploit-Autor entnahm außerdem aus Strings der ursprünglichen “The Moon”-Malware eine Liste der mutmaßlich anfälligen Linksys-Router. Betroffen sind demnach Modelle der E-Serie wie E4200, E3200 und E3000, aber auch die Wireless-N-Produktlinie mit Modellbezeichnungen wie WAG32ON oder WRT610N.

Neu-Eigentümer Belkin hat die Sicherheitslücke inzwischen bestätigt. Die Malware befalle “bestimmte ältere Router und Access Points”. Der vom Wurm eingesetzte Exploit zur Umgehung der Admin-Authentifizierung funktioniere jedoch nur bei aktivierter Fernverwaltung. Belkins Kommunikationschefin Karen Sohl empfahl betroffenen Kunden, dieses Feature zu deaktivieren und anschließend einen Neustart des Routers zu veranlassen. Instruktionen dafür veröffentlichte Linksys auf seiner Website.

Laut Linksys ist der Fernzugriff bei den ausgelieferten Geräten standardmäßig nicht aktiviert. Der Hersteller arbeitet an einem Firmware-Fix für die betroffenen Produkte und will ihn innerhalb der nächsten Wochen auf seiner Website veröffentlichen.

Linksys ist nicht der einzige Routerhersteller, der aktuell von Sicherheitsproblemen betroffen ist. Auch die Fritzbox von AVM kann von Malware befallen werden. Vor wenigen Tagen tauchte auch eine Liste von unsicheren Asus-Routern im Netz auf.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus