Backdoor in D-Link Router

In der Firmware von D-Link Routern wurde ein Bug entdeckt, über den sich potenzielle Angreifer in das Administratoren-Interface einloggen und Aktionen durchführen können.

Der für den Zugriff auf das Gerät benutzte Internetbrowser muss den User-Agent-String „xmlset_roodkableoj28840ybtide“ ausgeben.

Betroffene Modelle sind: DIR-100, DIR120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+ und TM-G5240.

Bei D-Link gibts einen Patch.

Hacker nutzen Router als Portal ins Heimnetz

Der Sicherheitsexperte Bogdan Calin hat eine Firmwarelücke der Router von Arcor, Asus und TP-Link entdeckt, die er mit einer manipulierten Mail ausnutzen kann. Öffnet das Opfer die Mail, wird der eigene Router so umkonfiguriert, dass der ganze Netzwerkverkehr auf einen Hackerserver umgeleitet wird. Das Opfer merkt davon nichts.

Für den Angriff wird ein Cross-Site Request Forgery (CRSF) genutzt. Versucht das Mailprogramm ein eingebettetes Bild zu laden, wird eine Befehlszeile ausgeführt, die die DNS-Einstellungen des Routers ändert.

Zur Gegenmaßnahme gibt es nur die Möglichkeit das vorgegebene Standardpasswort des Routers zu ändern.

Genauso kritisch ist die Schwachstelle bei den aktuellen WLan Routern 4421 und 6431 von O2 und Alice zu sehen. Über den Web-Serviceport 7170 ließ sich von außen die gesamte Konfigurationsoberfläche des Routers aufrufen. Dort kann man zum Beispiel Zugangsdaten auslesen oder etwa den kompletten Internetverkehr umleiten. Abhilfe schafft hier eine gepatchte Firmware die automatisch auf die Router überspielt wird.

Bei Installation eines neuen Routers sollte man als erstes das vorgegebene Passwort ändern, denn Listen mit den voreingestellten Kennwörtern findet man ohne Probleme im Internet.

 



Telekom Router mit Sicherheitslücke

Speedport W 921V so heißt der Router der in den letzten Stunden für Aufregung sorgt.

Dieser Router ist ab Werk mit einem individuellen WPA2 Schlüssel ausgestattet der zur WPS Verbindung mit Pin dient. Dieses Verfahren ist eigentlich ausgeschaltet und nur WPS push per Button sollte aktiviert sein.

Doch weit gefehlt, das WLan ist trotzdem über WPS mit Pin erreichbar. Das triviale an der ganzen Situation ist aber nicht nur diese Tatsache, nein, die Router sind ab Werk auch noch alle mit der gleichen Pin ausgestattet, so braucht sich ein Eindringling erst gar nicht die Mühe machen die Pinnummer zu knacken.

Bei einer oberflächlichen Prüfung bemerkt man den Hintereingang nicht. Denn der in Windows 7 integrierte WPS-Client bietet dem Nutzer nur das sichere Verfahren WPS PBC (Push Button Configuration) an, sofern das im Router so eingestellt ist. Doch für viele WLAN-Adapter gibt es Hersteller-Tools, mit denen man WPS PIN mit der Default-PIN versuchen kann, obwohl die Basisstation es nicht anbietet. Dann übermittelt der Speedport W 921V sofort das WLAN-Passwort und lässt den Client ins LAN. Für diesen Einbruch sind also keinerlei Hacker-Tools oder Wartezeiten auf das Knacken eines Schlüssels nötig.

Einzige Abhilfe: WLAN aus

So die Empfehlung der Telekom. Derzeit arbeite man gemeinsam mit dem Zulieferer „mit Hochdruck“ an einer Lösung. Außerdem prüfe ein Telekom-Labor alle Speedport-Modelle auf ähnliche Fehler.

Nach Einschätzung von Branchen-Insidern hat die Telekom bisher mehrere 100.000 der 200 Euro teuren Geräte verkauft. Sie stammen vom Zulieferer Arcadyan, der schon häufiger durch schwere Sicherheitslücken in seinen Produkten aufgefallen ist.