In den vergangenen Wochen wurde immer wieder bekannt, dass bei verschiedenen Routern undokumentierte Ports nicht nur innerhalb des eigenen Netzwerkes geöffnet, sondern auch aus dem Internet erreichbar und angreifbar sind. Hauptsächlich betroffene Router sind von Netgear und Linksys, beziehungsweise Cisco. Andere Hersteller werden aber nicht ausgeschlossen.
Über die Spezialsuchmaschine Shodan werden weltweit fast 3000 IP-Adressen angezeigt, die auf Port 32764 antworten und davon sind rund 60 aus Deutschland. Es zeigt sich in einigen Fällen, dass dieser Dienst auch über das Internet ansprechbar ist!
Über Port 32764 des Routers, haben Cyberkriminelle nun aus dem Internet heraus Zugriff auf die Konfigurationsschnittstelle des Routers. Der Reverse Engineer Eloi Vanderbeken hat zudem herausgefunden, dass mit verschiedenen rudimentären Befehlen die komplette Konfiguration des Routers manipuliert werden kann.
Ein mögliches Szenario wäre zum Beispiel, dass die DNS-Einträge geändert werden. Das würde für Sie heißen, immer wenn Sie einen Internetseite aufrufen, werden ihnen von Cyberkriminellen manipulierte, bzw. mit Schadcode infizierte Seite untergeschoben. Weitere Änderungen, wie z.B. beim “open DNS Resolver” sind durchaus möglich. Zudem können ohne Probleme die Zugangsdaten ausgelesen und geändert werden. Vanderbeken hat diverse Manipulationsmöglichkeiten in einer Powerpoint-Präsentation zusammen getragen.
Es ist leider nicht bekannt welche Hersteller oder wie viele Router von diesem “lauschenden Dienst” betroffen sind. Wer sicher gehen will, kann seinen Router auf dem Portcheck von Check und Secure auf diese Schwachstelle überprüfen lassen.
Check and Secure – Portcheck (Abb.1)
Sollte Ihr Router auf diesem Port: 32764 lauschen (siehe Abb.1), setzen Sie sich mit dem Hersteller in Verbindung und spielen Sie eine aktuelle Firmware auf den Router auf. Stellt der Hersteller keine aktuelle Firmware bzw. Handlungsanweisung bereit, sehen Sie sich am besten nach einem anderen Gerät um.
