Neue Sicherheitslücke in mehreren D-LINK Routern – diese Modelle sind betroffen

Neue Sicherheitslücke in mehreren D-LINK Routern – diese Modelle sind betroffen – Auf Github wurde vo zwei Tagen eine Sicherheitslücke veröffentlicht, die mehrere Router von D-Link betrifft und die es erlaubt, aus der Entfernung die Geräte zu übernehmen oder sie zum Absturz zu bringen. Ob diese Lücke bereits ausgenutzt wird, ist nicht nicht bekannt, aber man kann davon ausgehen, dass es nach der Veröffentlichung schon bald die ersten Versuche in diese Richtung geben wird.

Folgende D-LINK Modelle sind betroffen:

  • D-LINK Router DIR-412
  • D-LINK Router DIR-868L
  • D-LINK Router DIR-880L
  • D-LINK Router DIR-885L
  • D-LINK Router DIR-890L
  • D-LINK Router DIR-895L

Das Bundesamt für Sicherheit in der Informationstechnik schreibt dazu:

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in verschiedenen D-LINK Routern
ausnutzen, um die Kontrolle über das Gerät zu übernehmen, Informationen auszuspähen, bestimmte
Dateien zu manipulieren oder das Gerät zum Absturz zu bringen. […] Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

D-Link hat für die Modelle mittlerweile Sicherheitsupdates bereit gestellt um diese Lücke zu schließen. Man sollte also auch jeden Fall diese Patches installieren bzw. sicher stellen, dass auf den D-Link Modellen die jeweils neuste Version der Firmware läuft.

Netgear Router Sicherheitslücke betrifft weitere Geräte

Die gravierende Sicherheitslücke in vielen Netgear-Router Modellen ist mittlerweile auch offiziell vom Unternehmen bestätigt worden. Bisher hatte Netgear in erster Linie zugegeben, das es Probleme gibt und das man den Fall untersucht, nun hat man auch offiziell zugegeben, dass man die Router angreifen und übernehmen kann. Im Original der Meldung heißt es dazu kurz und bündig:

NETGEAR is aware of the security issue #582384 that allows unauthenticated web pages to pass form input directly to the command-line interface. A remote attacker can potentially inject arbitrary commands which are then executed by the system.

Nach Angaben des Unternehmens sind folgende Geräte von der Sicherheitslücke betroffen:

  • R6250*
  • R6400*
  • R6700*
  • R6900*
  • R7000*
  • R7100LG*
  • R7300DST*
  • R7900*
  • R8000*
  • D6220*
  • D6400*

Allerdings schreibt das Unternehmen auch, dass noch weitere Geräte untersucht werden. Die Liste von betroffenen Modellen, die möglicherweise sehr einfach von Angreifern übernommen werden können, ist damit unter Umständen noch gar nicht vollständig und wächst möglicherweise noch weiter an.

Leider hat es Netgear bisher noch nicht geschafft, einen sicheren Patch für diese Lücke anzubieten. Es gibt zwar für alle Geräte eine Beta-Firmware, in der die Lücke geschlossen ist, allerdings fehlen bisher Versionen, die über das Beta-Stadium hinaus getestet wurden. Man kann die Software also sicher machen – es besteht dann aber durchaus die Möglichkeit, dass es andere Fehler gibt oder das neue Sicherheitslücken dadurch entstehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist ebenfalls auf die Probleme mit den Beta-Patches hin. In einer Produktwarnung heißt es:

Der Hersteller Netgear hat die Verwundbarkeit der WLAN-Router mit den Modellnummern R6250, R6400, R6700, R6900, R7000, R7100LG, R7300DST, R7900 und R8000 sowie der DSL-Router mit den Modellnummern D6220 und D6400 bestätigt und stellt erste Sicherheitsupdates im ‚Beta‘-Status für alle   betroffenen Modelle zur Verfügung. Diese Updates wurden nicht vollständig getestet und funktionieren möglicherweise nicht für alle Benutzer, stellen aber für den Moment die beste Software-Lösung zur Behebung der     Sicherheitslücke dar. Informationen zum Download der Firmware für Ihr Produkt erhalten Sie über den referenzierten Sicherheitshinweise von Netgear.

Prinzipiell empfiehlt das BSI aber, die Router vorerst nicht zu benutzen, bis es einen stabilen und ausreichend getesteten Patch für diese Lücke gibt. Es ist aber bisher noch nicht klar, wann man mit eine endgültige Version der Software rechnen kann.

Dazu bedeutet die Abschaltung der Router natürlich auch, dass die Internet-Verbindung nicht mehr genutzt werden kann – zumindest wenn man kein Ersatzgerät ohne Sicherheitslücke hat. In Blogs wird dagegen empfohlen – oder zumindest nahe gelegt – das man die Weboberfläche des Routers deaktivieren kann um den Zugriff nicht mehr möglich zu machen. Damit kann man allerdings den Router auch nicht mehr über dieses Interface konfigurieren. Um dies durchzuführen, reicht es, folgende URL aufzurufen:

http://[RouterIP]/cgi-bin/;killall$IFS'httpd'

Dabei muss die [RouterIP] natürlich durch die eigenen IP des eingesetzten Routers ausgetauscht werden. Man sollte dies aber nur durchführen, wenn man sich wirklich sicher ist. Um die Weboberfläche wieder zu aktivieren reicht es, das Gerät kurz vom Strom zu trennen. Bei dem anschließenden Neustart wird die Oberfläche wieder mit geladen und man kann die Router wie bisher bedienen – allerdings besteht dann auch wieder die Gefahr eines erfolgreichen Angriffs.

 

 

Angriff auf die Telekom – ein kleiner Vorgeschmack auf Cyber-War

Die DSL- und VDSL Kunden der Telekom hatten in den letzten beiden Tagen wenig Freude am Internet – zumindest wenn sie die normalen Router des Unternehmens nutzen. Das Unternehmen geht von etwa 900.000 Endkunden aus, die nicht mehr ins Internet kamen und auch nicht mehr telefonieren konnten.

Die Kunden der Telekom leiden dabei derzeit unter einem weltweiten Angriff auf eine Schwachstelle im Fernwartungsprotokoll TR-069, das von den Telekom Endgeräten genutzt wird und sich auch nicht deaktivieren lässt. Über den Port 7547 werden die Endgeräte dabei angegriffen mit dem Ziel, Schadsoftware aufzuspielen und die Geräte in ein Botnetzwerk einzureihen – so zumindest die aktuellen Informationen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in einer ersten Pressemeldung dazu:

Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben. Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.

Die genutzte Schwachstelle war dabei bisher in dieser Form wohl nicht bekannt, es handelt sich aber möglicherweise um ein Sicherheitsleck, dass grundlegend bereits vor einigen Jahren entdeckt wurde. Prinzipiell ist das Protokoll TR-069 (Technical Report 069) dazu gedacht, Router aus der Ferne mit neuer Software versorgen zu können – gibt es dort Lücken können Angreifer aber natürlich auch schädliche Software nachladen.

Wie viele solcher Lücken lagern noch in den Giftschränken?

Der Angriff zeigt, wie einfach es heute ist, die Infrastruktur von Unternehmen und Ländern anzugreifen, einfach in dem man Lücken in der Software ausnutzt. Man kann davon ausgehen, dass im Arsenal von Hackern, aber auch den Geheimdiensten noch dutzende solcher Sicherheitslücken liegen, die nicht an die Betreiber gemeldet wurden, um im Notfall eine Zugriffsmöglichkeit bzw. eine Angriffsmöglichkeit zu haben.

Wahrscheinlich gibt es solche Lücken auf für noch breiter verteilte System wie etwa Android oder Windows und im Falle eines Falles lassen sich damit relativ schnell sehr viele Menschen vom Internet abkoppeln und da Regierungsbehörden oft auch auf diese Systeme setzen, wäre wohl auch die Verwaltungsinfrastruktur von Ländern sehr schnell lahm gelegt. Man denke nur daran, wenn Banken vom Netz entkoppelt würden und kein Geld mehr auszahlen könnten – die Folgen wären sehr schnell verheerend.

Hier zeigt sich aber auch die Kurzsichtigkeit von Regierungen, selbst aktiv im Geschäft mit Sicherheitslücken mit zu machen. Statt dafür zu sorgen, dass Lücken in Software und Hardware möglichst schnell beseitigt werden, in dem man diese Lücken dem Hersteller weiter leitet, sind Geheimdienste eher damit beschäftigt, neue Informationen über Sicherheitslücken in ihr Arsenal aufzunehmen. Das bedeutet dann in der Regel, dass diese Lücken weiter offen bleiben und natürlich früher oder später auch von anderen entdeckt – und wie im Fall der Telekom auch ausgenutzt werden. Die Sicherheit der Bürger und der Nutzer scheint hier nachrangig zu sein.

Die Telekom hat mittlerweile reagiert und filtert die Angriffe heraus. Dazu wurde auch eine neue Version der Firmware für die Router veröffentlicht, so dass zumindest diese Sicherheitslücke zukünftig kein Problem mehr darstellen sollte. Betroffen Kunden sind aufgefordert, die Router neu zu starten, danach sollte der Zugriff auf Telekom und Internet wieder normale funktionieren.