Seit Gestern ist [für die Öffentlichkeit] klar, das viele Geräte von Netgear und Linksys einen Dienst mitbringen, der dauerhaft auf einem Port lauscht. Richtig angesprochen verrät dieser Dienst Passwörter und sonstige Konfiguration des Routers. Das ist im allgemeinen schon ziemlich unangenehm – wenigstens dann wenn potenzielle „Angreifer“ Zugriff auf das eigene Netz haben. Die Kinder, der Nachbar oder sonst wer der ein Interesse an den Daten des Routers hätte.
Zu einer richtig besorgniserregenden Lücken wird das ganze aber dann, wenn die Systeme von außen – also aus dem Internet heraus – angesprochen werden können. In diesem Fall wäre es jedem Menschen möglich, von jedem beliebigen Ort aus, die Konfiguration des Routers auszulesen. Nicht auszuschließen ist, das auch Änderungen von extern vorgenommen werden können. So könnten zum Beispiel die DNS-Einträge manipuliert werden. Damit wären dann diversen anderen Angriffen Tür und Tor geöffnet.
Kurz um – das ist wirklich ernst. Eine erste, vorläufige Liste der betroffenen Geräte gibt es hier. Bisher ist nicht sichergestellt, auf welchen Geräten man tatsächlich die Konfiguration auslesen bzw. manipulieren kann. Auch sieht es bisher so als, als wären die meisten Geräte nur von intern ansprechbar. Wer den Teilnehmern des eigenen Netzes also vertraut, ist einigermaßen Safe. Wobei auch denkbar wäre das demnächst Schadsoftware auftaucht die diese Lücke abklopft um die Autoren auch mit den Zugangsdaten des Routers zu versorgen.
Wer ein Gerät der erwähnten Hersteller Zuhause hat, sollte sich mal die Mühe machen und das klären. Wobei derzeit am wichtigsten ist sicherzustellen, das das Gerät nicht von extern ausgelesen werden kann. Möglich ist das hier. Die Seite testet nicht nur die Erreichbarkeit des Ports, sondern prüft auch gleich welche Daten gegebenenfalls ausgelesen werden können. Sollte der Test positiv – also mit der Ausgabe der Konfiguration – enden, so ist dringend anzuraten die Firewall des Routers um eine entsprechende Regel zu erweitern und die Passwörter zu ändern. Wer damit Schwierigkeiten hat, darf sich gerne bei mir melden.
Zu den Hintergründen ist noch nichts weiter bekannt. Die Antwort des Dienstes lässt darauf schließen, das er von einem Zulieferer / Auftragsfertiger stammt. Das legt den Verdacht nahe, das noch andere Geräte betroffen sein könnten. So tauchen in der Liste der betroffenen Geräte auch immer mehr Cisco-Router auf. Allen gemein scheint zu sein, das es sich um Modem-Router handelt. Also reine DSL-Komplettgeräte. Wobei ich die Liste noch nicht im Detail durchgesehen habe. Die betroffenen Netgear kommen mir aber allesamt bekannt vor.
Damit es aber auch etwas amüsantes bei der Geschichte gibt – nur damit das nicht untergeht, die Sache ist wirklich wirklich ernst – hat der Entdecker der Lücke die Geschichte dazu mal in MS Paint zusammengefasst. Durchaus unterhaltsam. Hier gehts zur PDF.
Wenn es weitere Details dazu gibt, werde ich sie hier hinzufügen. Bis dahin viel Erfolg beim Testen.
Benny