[English]Ein Sicherheitsforscher ist auf eine versteckte Hintertür (Backdoor) gestoßen, die in chinesischen Routern diverser Firmen (Wavlink, Jetstream) eingebaut ist. Über die Backdoor lässt sich nicht nur der Router kontrollieren, sondern auch in das dahinter liegende Netzwerk der Gerätebesitzer eindringen. Die Geräte werden auf Amazon, eBay und weiteren Plattformen sowie beim US-Händler Walmart verkauft. Wie stark die Router in Deutschland verkauft werden, weiß ich nicht. Eine kurze Suche auf Amazon nach Ematic-Routern (oder weiterer Gerätenamen) hat mir Treffer beschert.
Brauchen wir so was wie ein deutsches Reinheitsgebot für Router der Art: ‚In meine vier Wände lasse ich nur Router von AVM‘? Wenn ich die Zufallsartikel aus dem Blog überfliege, die ich am Beitragsende verlinkt habe, lautet die Antwort Ja. Und patchen sollte man das Zeugs, unbedingt und regelmäßig.
Oh, das ist ja eine Backdoor im Router
In einer Zusammenarbeit zwischen dem Informationssicherheitsforscher Mantas Sasnauskas von CyberNews Sr. und den Forschern James Clee und Roni Carta wurden verdächtige Hintertüren in einem in China hergestellten Jetstream-Router entdeckt, der exklusiv bei Walmart als“erschwinglicher“ WiFi-Router verkauft wird. Diese Hintertür würde einem Angreifer die Möglichkeit bieten, nicht nur die Router, sondern auch alle mit diesem Netzwerk verbundenen Geräte fernzusteuern. Die betreffende Firmware wird aber auch in anderen Routern verwendet.
Auf Nachfrage von CyberNews antwortete Walmart, dass man dem Problem nachgehe, aktuell aber keine Geräte mehr auf Lager habe und nicht planen, das Gerät wieder ins Sortiment aufzunehmen. Die Dummen sind die bisherigen Käufer.
Ich bin über diesen Cybernews-Artikel auf das Thema aufmerksam geworden. Nachfolgende Video thematisiert das Ganze in diversen Details.
(Quelle: YouTube)
Neben dem Walmart-exklusiven Jetstream-Router entdeckten die Sicherheitsforscher aber, dass preiswerte Wavlink-Router, die normalerweise bei Amazon oder eBay verkauft werden, ähnliche Hintertüren haben. Die Wavlink-Router enthalten auch ein Skript, das nahegelegene WLANs auflistet und die Möglichkeit bietet, sich mit diesen Netzwerken zu verbinden. Ich habe dann mal auf Amazon geschaut – da wird auch ein WAVLINK AC3200 Dualband WLAN Router über einen gesponsorten Link angeboten. Es ist also nicht ausgeschlossen, dass solche Router – ggf- unter dem Handelsnamen Ematic (von Media Markt habe ich nur eine Streaming-Box unter diesem Namen gefunden) – in Deutschland, Österreich oder der Schweiz eingesetzt werden.
Die Sicherheitsforscher haben Hinweise gefunden, dass diese Hintertüren aktiv ausgenutzt werden. Es wurde versucht, die Geräte einem Mirai-Botnet hinzuzufügen. Bei Mirai handelt es sich um Malware, die mit einem Netzwerk verbundene Geräte infiziert, sie als Teil eines Botnetzes in ferngesteuerte Bots verwandelt und sie für groß angelegte Angriffe verwendet.
Zum Hintergrund
Ursprünglich hatte der Sicherheitsforscher Clee nur die Idee, mal nachzusehen, wie es um die Sicherheit kostengünstiger chinesische Geräte wie Wavlink-Router bestellt ist. Er wird mit folgender Aussage zitiert: „Ich war daran interessiert, zu sehen, wie viel Aufwand die Unternehmen in die Sicherheit investieren. Ich beschloss, dass es ein nettes Hobby wäre, billige chinesische Technologie von Amazon zu kaufen und zu sehen, was ich herausfinden könnte. “
Dann nahm er über CyberNews Kontakt mit Carta und Sasnauskas auf. „Nachdem ich mit James über seine Entdeckung gesprochen hatte“, sagte Carta gegenüber CyberNews, „versuchte ich sofort, nach anderen Firmen zu suchen, die dieselbe Firmware verwenden, und stellte fest, dass auch die Geräte von Jetstream anfällig sind. Die Nachforschungen waren interessant, um zu verstehen, woher die Schwachstelle kam und wie ein böswilliger Akteur sie vollständig ausnutzen konnte.“
Obwohl Jetstream einen Exklusivvertrag mit Walmart hat und unter anderen Markennamen wie Ematic verkauft wird, gibt es nur sehr wenige Informationen darüber, welche chinesische Firma diese Produkte tatsächlich herstellt. Soviel ist bekannt: Wavlink ist ein Technologieunternehmen mit Sitz in Shenzhen, China, in der Provinz Guangdong. Das Unternehmen hat ca. 1.000 Angestellte und verkauft seine Produkte weltweit. Über das Unternehmen Jetstream sind weniger Informationen öffentlich abrufbar. Es wird vermutet, dass hinter dem Namen der Hersteller Winstars steckt.
Ich vermute mal, dass aktuell nur wenige dieser Geräte im deutschsprachigen Raum zu finden sind (mag mich aber täuschen). Weitere Details sind diesem Artikel von Lee, dem obigem Video sowie dem Artikel auf CyberNews zu entnehmen.
Ähnliche Artikel:
Kommt der Routerzwang wieder?
Tipp: Router Security-Testseiten
Fraunhofer-Test: Sicherheitsmängel bei Home-Routern
Weitere Telekom Business-Router mit Sicherheits-Bug (27.11.2019)
Router-Schwachstellen (D-Link, Cable Haunt, Indien)
Angriffe auf DrayTrec-Router gefährden Firmennetze
Liste von D-Link-Routern mit ungefixten RCE-Schwachstellen
Cisco Sicherheitsupdate für Switches und Router
… ist man überrascht? Ich bin immer erstaunt, wie naiv viele Anwender zu bestimmten Produkten greifen, solange nur der Preis und die Technik stimmt, besonders krass ja im Bereich Smartphones. Wahrscheinlich auch nicht selten die gleichen Anwender, die fragwürdige Adblocker installieren und sich furchtbar über Datensammlung durch Microsoft oder andere aufregen.
wobei allerdings preis und namhaftigkeit des herstellers auch keine garanten fuer sichere systeme sind:
https://de.wikipedia.org/wiki/Cisco_Systems#Spionage-Vorw%C3%BCrfe
https://de.wikipedia.org/wiki/Juniper_Networks#Juniper-Skandal
https://de.wikipedia.org/wiki/Netgear#Spionage-Vorw%C3%BCrfe
https://de.wikipedia.org/wiki/D-Link#Sicherheitsproblematik
https://de.wikipedia.org/wiki/Belkin_International#Backdoor-Problematik_bei_Linksys-Routern
…
Ja finde ich auch krass. Beim iPhone wird ein wahnsinnig hoher Preis für eine Technik verlangt, die zwar funktioniert aber leider in die falsche Richtung geht. Trotzdem kaufen die Leute das Zeugs.
Marke oder Preis ist kein Indikator für Qualität. Sorry aber ‚beschissen werden Sie hier genauso wie nebenan‘.
Ist halt die Krux für mich als Blogger:
Im Grunde gilt es für jedes Thema – ist mir heute mal wieder bzgl. der Kommentarlage zum WIM-Größenproblem klar geworden.
Unter dem Aspekt könnte ich die Berichterstattung weitgehend einstellen. Aber offenbar mache ich es als Blogger richtig, wenn ich trotzdem separierende Themen hier einstelle ;-).
Mal schauen, vielleicht setze ich mich gleich ins Auto und ‚fahre in die Sonne‘ – paar Kilometer weiter liegt der Feldberg im Taunus (881 Meter hoch) über der Nebelschicht und hat klaren, blauen Himmel mit 16 km Weitsicht …
Ich spreche jetzt mal für mich: Auch wenn ich einen Artikel nicht kommentiere, lese ich ihn (und finde ihn zumeist) auch interessant. Wenn ich allerdings nix zu sagen habe, halte ich es wie Dieter Nuhr. Ergo: Stiller Genießer. :D
Und wie Du vermutet hast: Ja, solch einen Router würde ich mir freiwillig nicht ins Hause holen, aber… man trifft dann doch wieder auf Bekannte, die bei sowas zugreifen. Da kann man dann doch mal auf (u.A.) Deinen Blog verweisen. ;)
Daheim nutze ich nur *** bei Routern. Liegt aber daran, daß ich technologiebedingt nicht die größte Auswahlmöglichkeit habe – und bridging kommt mir nicht in die Tüte, sehe bei meinem Kollegen, wie sauber das läuft…
„Krabbel“kiste…?
Günter, bändige deine Finger. :-)
„Grabbelkiste“ muss es heißen.
Habe es korrigiert – danke, da hat Siggi Freud mit der Krabbelkiste der Enkel durchgeschlagen ;-).
Mit ein bischen Vorlaufzeit ließe sich das mit dem Feldberg umsetzen, dann könnten wir uns da oben sozusagen auf neutralem Boden über den Weg laufen.
Es gibt auch die Leute „dazwischen“. Die sich nicht in den MM-Grabbelkisten bedienen, aber auch keine IT-Profis sind. Sondern einfach nur ihr Arbeitsgerät, z.B. einen PC, sicher und funktionsfähig halten wollen.
Und die finden hier durchaus sehr brauchbare Informationen.
Die Idee mit dem „Reinheitsgebot“ ist sicher in die richtige Richtung gedacht.
Projekte wie OpenWrt und DD-Wrt sind hier sicher auch ein gangbarer Weg und vielleicht die letzte Rettung für diese Geräte, wenn sie denn unterstützt werden.
Gibt es eine Liste der Router-MAC-Adressen? (Identifiziert normalerweise den Hersteller)
Wie kann man die backdoor erkennen? Über welche Ports wird kommunizier?
Wie ist das mit Access-Points, die keine eigenen IP-Adresse vergeben?
„Gibt es eine Liste der Router-MAC-Adressen? (Identifiziert normalerweise den Hersteller)“
Zum Bleistift:
https://www.adminsub.net/mac-address-finder/jetstream
Es geht sogar noch dümmer:
https://www.welivesecurity.com/2020/11/23/security-flaws-smart-doorbells-open-door-hackers/
Bleibt die Frage, warum kauft jemand solche Geräte.
„Bleibt die Frage, warum kauft jemand solche Geräte.“
Weil alle Anderen den Fortschritt aufhalten und ewiggestrig sind. Kennst Du die typischen Reaktionen von IoT-Anhängern nicht? Die interessiert auch nicht, daß ABUS seine Security-Produkte (OEM) teils noch mit festen root:toor Zugangsdaten auslieferte. Alles halb so wild, alle Kritiker sind Aluhut-Träger.
Wie verhält sich das mit Routern der Telekom z.B. dem Speedport w 724 V? Hersteller ist die chinesische Firma Huawei, wie ich heraus gefunden habe.Möglicherweise auch da Backdoors vorhanden? Bin kein Aluhutträger, aber man kann ja mal nachfragen. Vielleicht hat ja jemand eine Antwort dafür.
Grüße Hartmut
Da gab es 2014 mal was …
SP W 724V Typ C auch mit Backdoor?
Mysteriöse Backdoor in diversen Router-Modellen
Finger weg vom Telekom-Router Speedport W 724V
Sind sicherlich aber nicht mehr die heutigen Geräte, die als ‚Speedport w 724 V‘ bereitgestellt werden. Hier im Blog ist der Router nur aufgefallen, weil er die Onleihe blockiert.
Welcher Hersteller es ist, hängt vom EXAKTEN Modell (aka Typ) ab:
Typ A: Huawei
Typ B: Arcadyan
Typ C: Sercomm
Man vermutete damals beim Typ C eine Backdoor. Ob da wirklich eine wahr, kann ich so direkt nicht beantworten.
Kannst ja mal Dein Glück mit dem Netzwerkcheck von heise versuchen:
https://www.four.heise.de/security/dienste/portscan/test/do.shtml?scanart=1&ports=&rm=scan&submit=Scan+starten
„In meine vier Wände lasse ich nur Router von AVM“. Um mit dem Monaco Franze zu antworten: bestimmt nicht!.
Denn AVM Router bieten keine Gewähr. Und das TR-069 Management der Provider erlaubt soagr ohne Hintertüren, daß in den Router eingedrungen wird und damit natürlich auch in das Netz dahinter.
Router dürfen bei mir nur Open Source Softare haben. Eine Fritte taugt höchstens als Modem oder Netzabschluß.
TR-069 kannst Du in den Kauf-Routern deaktivieren. Nur die Leihboxen verstecken diese Option vor dem Kunden. Auch einer der Gründe, Mietboxen zu ersetzen.
Aber ja, AVM ist nicht der Weisheit letzter Schluß. Die Software ist teilweise uralt und unsicher, aber man hat keine allzu große Wahloption, wenn man einen Kabelanschluß hat. Bridging hingegen ist oftmals mit Leistungseinbußen (VF) verbunden, was ein „in Reihe schalten“ von Provider-Modem und „gutem“ Router erschwert.