Hart-codierte, also fest programmierte Anmeldeinformationen, zählen zu den bekanntesten gängigen Sicherheitsschwachstellen für SOHO-Router nahezu jedes Herstellers. [...]
Hart-codierte, also fest programmierte Anmeldeinformationen, zählen zu den bekanntesten gängigen Sicherheitsschwachstellen für SOHO-Router (Small Office / Home Office) nahezu jedes Herstellers. Das sind keine Softwarefehler im herkömmlichen Sinne, aber spezifische Benutzernamen und Passwörter, die recht einfach und schnell zu mißbrauchen sind, bei Tausenden, Millionen dieser Geräte.
Diese Hintertüren sind in der Regel nicht direkt aus dem Internet erreichbar. Der Angreifer muss im lokalen Netzwerk sein, um sie zu nutzen und die Geräte neu zu konfigurieren. Dies ist nicht unbedingt beruhigend. Während der Angreifer vor Ort sein muss, sind die meisten dieser Anmeldeinformationen auf der Konfigurations-Web-Oberfläche nutzbar. Eine übliche Technik ist es, einen Cross-Site-Scripting (XSS)-Angriff auf eine bestimmte Website auszuführen, um den Benutzer (innerhalb des Netzwerks) heimlich zu zwingen, sich auf dem Gerät anzumelden und Änderungen im Namen des Angreifers auszuführen. Angreifer auf öffentliche, kostenlose WLANs sind auch im lokalen Netzwerk und können Konfigurationsänderungen an einem Router durchführen, was somit jemand anderen betreffen kann, der mit diesem Zugangspunkt verbunden ist.
Sobald ein Angreifer die administrative Kontrolle über den Router übernimmt, sind die Gelegenheiten für bösartige und betrügerische Aktivitäten nahezu grenzenlos. Er kann alles anstellen, etwa benutzerdefinierte DNS-Konfigurationen einrichten, die die Namensauflösung des lokalen Netzwerks beeinträchtigen, um die Firmware vollständig mit seiner eigenen zu ersetzen. So kann er schnüffeln und jeglichen Verkehr nach Belieben umleiten.
Backdoor-Anmeldeinformationen wie diese sind sicherlich nicht neu. Bei einer Suche nach dem versteckten Administratorkennwort (Observa Telecom, 7449airocon) liefert Google fast 400 Treffer – von legitimen Blogs für Router-Sicherheitsforschung bis zu Websites für kriminelle Aktivitäten. Ich bin froh, dass CERT/CC die Aufmerksamkeit auf dieses Problem richtet (siehe auch die aktuellen Warnung des CERT zu diesem Thema). Die Hersteller müssen alles tun, um den Endanwendern zumindest zu ermöglichen, diese Passwörter zu ändern. Und im Idealfall würden Passwörter nach dem Zufallsprinzip generiert werden beim ersten Booten oder bei der Wiederherstellung der Firmware. Solange die Hersteller sich bei diesen Geräten, die für die Internetkonnektivität unverzichtbar sind, nicht von Standard-Passwörtern verabschieden, werden wir auch weiterhin opportunistische Angriffe auf Router für Privatanwender und kleine Unternehmen beobachten.
* Tod Beardsley ist Security Engineering Manager bei Rapid7.
Be the first to comment