Backdoor in diversen Routern?

Noch eine kurze Meldung, die vor allem Benutzer von Geräten der Anbieter Routern von Linksys und Netgear interessieren dürfte. Auf den Routern läuft ein mysteriöser Dienst, über den sich Infos, inklusive Passwörtern im Klartext, abrufen lassen.

Linksys und Netgear scheinbar betroffen

Aufgedeckt hat es Eloi Vanderbeken durch Reverse-Engineering – heise online berichtet in diesem Artikel über den Sachverhalt. Vanderbeken hat zwischenzeitlich diese GitHub-Seite aufgesetzt, auf der er von der Backdoor betroffene Routermodelle auflistet.

Konkret handelt es sich bei der Backdoor um einen undokumentierten Dienst,  der auf dem TCP-32764-Port auf Befehle wartet. Wie heise.de hier schreibt, ist es Vanderbeeken durch eine Analyse der Router-Firmware mittels eines Tools gelungen, den Dienst anzusprechen. Es handelt sich wohl um eine Konfigurationsschnittstelle, mit der man den Router auf Werkseinstellungen zurücksetzen kann.

Dumm allerdings, dass man über diese Schnittstelle auch die Routerkonfiguration abrufen kann, die gleich alle Kennwörter im Klartext mitliefert. Laut heise.de fördert eine Suche mit Shodanhq.com eine Menge Treffer, wobei gut 60 Geräte in Deutschland stehen sollen (ohne Account werden aber nur ausländische Router gelistet, und Deutschland taucht in den Top Countries nicht mehr auf). Sobald neue Infos zu diesem Problem vorliegen, tragen ich diese hier nach.

In den Kommentaren bei heise.de finden sich Hinweise wie dieser, dass man alle TCP-Ports schließen kann, so dass der Dienst nicht mehr erreichbar ist. Scheint aber eine Alles-oder-nichts-Option zu sein.

Spekulationen bei den FRITZ!Boxen

Bei den AVM FRITZ!Boxen soll dagegen der Port 8098 offen sein, wie diese Diskussion bei heise.de ergibt. Ob dort auch Kennwörter im Klartext übertragen werden, ist aber unklar. Die hier angegebene Methode zum Überprüfen liefert bei meiner FRITZ!Box 7390 aber nichts (bei mir sind auch keine Portfreigaben eingerichtet). 

FRITZBox

Allerdings kann die FRITZ!Box per TR-069 verwaltet werden – so dass der Provider meine Daten abrufen kann. In obigem Screenshot ist aber ersichtlich, dass man diese Option (zumindest bei meiner gekauften FRITZ!Box 7390) über Internet –> Zugangsdaten auf der Registerkarte Anbieter-Dienste über das Löschen der Markierung des Kontrollkästchens Automatische Einrichtung durch den Dienstanbieter zulassen abschalten können soll.

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Backdoor in diversen Routern?

  1. Harry Bo sagt:

    Spekulationen bei den FRITZ!Boxen: Bei meiner 7390 gibt es diese Einstellungen nicht zu sehhen. Bei Aufruf der Hilfe mit dem Suchwort »Anbieter-Dienste« kommt folgende Antwort:
    Die Seite „Anbieter-Dienste“ ist in der Benutzeroberfläche der FRITZ!Box nur dann vorhanden, wenn Ihr Internetanbieter die automatische Einrichtung der FRITZ!Box nach TR-069 unterstützt. TR-069 ist eine technische Spezifikation. Sie beschreibt die automatische Einrichtung von Internetzugangsgeräten (zum Beispiel FRITZ!Box) durch den Internet- und Internettelefonie-Anbieter (Dienstanbieter).

    Auf der Seite „Anbieter-Dienste“ können Sie die automatische Einrichtung der FRITZ!Box und automatische Firmware-Updates zulassen oder blockieren.

    Klicken Sie zum Speichern Ihrer Einstellungen auf die Schaltfläche „Übernehmen“. Wenn Sie die Seite verlassen, ohne zu speichern, gehen alle Änderungen verloren.

    Automatische Einrichtung durch den Dienstanbieter zulassen

    Wir empfehlen, diese Einstellung zu aktivieren. Der Internetzugang und die Internettelefonie werden in der FRITZ!Box dann automatisch eingerichtet und Sie müssen Ihre Zugangsdaten und Telefonnummern nicht von Hand eingeben.

    Wir empfehlen, diese Einstellung zu aktivieren. Der Internetzugang wird in der FRITZ!Box dann automatisch eingerichtet und Sie müssen Ihre Zugangsdaten nicht von Hand eingeben.

    Automatische Updates zulassen

    Diese Einstellung können Sie zusätzlich aktivieren, wenn die automatische Einrichtung durch den Dienstanbieter zugelassen ist. Ihr Dienstanbieter kann neue Firmware-Updates dann automatisch auf Ihre FRITZ!Box übertragen.

    Deaktivieren Sie diese Einstellung, wenn die Firmware der FRITZ!Box nicht automatisch aktualisiert werden soll. Die Firmware darf zum Beispiel dann nicht automatisch aktualisiert werden, wenn Sie die FRITZ!Box mit einer bestimmten Firmware-Version betreiben möchten.

    MfG
    Harry Bo

  2. Damian Dandik sagt:

    Zum glück sind laut AVM „http://www.avm.de/de/News/artikel/2014/fritzbox_sicher.html?linkident=kurznotiert“ keine FRITZ!Box Modelle von der beschriebenen Sicherheitslücke betroffen.

    Gruß,
    Damian

  3. Günter Born sagt:

    Nachtrag: Bei heise.de gibt es hier einen Artikel mit Infos, wie man die Backdoor testen kann.

  4. Günter Born sagt:

    Nachtrag: DNS-Angriff auf Router

    heise.de berichtet hier über einen großflächigen Angriff auf Router.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert