Standort: fm4.ORF.at / Meldung: "Böse Hintertür in Haushaltsroutern"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

19. 1. 2014 - 17:14

Böse Hintertür in Haushaltsroutern

Dreißig auch in Österreich gängige Routermodelle von Cisco, Linksys und Netgear für kleine Firmen, Kanzleien und Haushalte haben dieselbe fatale Sicherheitslücke. Abhilfe gibt es nicht.

Die Ende Dezember in mehreren Routern entdeckte Hintertür ist viel weiter verbreitet, als anfangs angenommen. Inzwischen ist dieselbe Sicherheitslücke bei mehr als 30 Routermodellen der Firmen Cisco, Linksys und Netgear nachgewiesen. Auch in Österreich ist eine unbekannte Zahl von kleineren Firmen, Anwaltsbüros und Haushalten betroffen, die über diese Geräte mit dem Internet verbunden sind.

Mit ziemlicher Wahrscheinlichkeit wurde diese Hintertür nicht von der NSA platziert, sondern von der Marketingabteilung einer Firma aus Taiwan, die diese Geräte im Auftrag dieser Firmen gefertigt hat. Erschreckend daran ist, dass diese Hintertür bereits seit 2003 existiert und sich zehn Jahre lang auf immer mehr Modelle ausgeweitet hat. (Details weiter unten).

Der ominöse Port 32764

Abhilfe gegen diese Sicherheitslücke gibt es nicht, denn über die Administrationsoberfläche der Firewall im Router lässt sich das Loch nicht schließen. Auch die Sperrung des ominösen Ports 32764 nützt nichts, weil die kleine Firewall im Router seitlich umgangen wird.

Wer nun gezielt an dieser Portnummer 32764 von außen mit einem kleinen Skript "anklopft" wird vom Router eingelassen, löst dort einen Neustart aus und ist dann Administrator, natürlich für das gesamte private Netz dahinter. Dieses Verhalten wurde von ORF.at an einem Cisco WRVS4400n nachgewiesen, das "Exploit" genannte Progrämmchen dafür ist im Netz seit Wochen verfügbar.

Eine erste, vorläufige Liste der kompromittierten Geräte wird vom Erforscher der Lücke samt Beschreibung und Exploit zur Verfügung gestellt. Für Tests, ob Port 32764 des eigenen Routers in Richtung Internet offensteht, stellt Heise.de dieses Online-Tool bereit

Gefahr durch Kriminelle steigt

Bisher wurden zwar nur sechs Typen entdeckt, die in Richtung Internet sperrangelweit offenstehen. Die überwiegende Mehrzahl ist nur intern anzugreifen, was aber keine Entwarnung ist. Wenn jeder Benutzer im Netz etwa einer Anwaltskanzlei - inklusive WLAN - über eine simple Befehlseingabe zum Firewall-Administrator wird, dann genügt auch ein einziger mit Schadsoftware verseuchter, interner Rechner, um das gesamte Netzwerk einem externen Angreifer auszuliefern.

Seit Anfang Jänner steigt die Wahrscheinlichkeit dafür, zumal das Einbruchswerkzeug - der Exploit - schon im Netz vorhanden ist. Gefahr droht hier weit weniger von der NSA, sondern von Kriminellen, die hier lohnende und vor allem ahnungslose Ziele vor sich haben.

Das Sercomm-Rätsel

Bis jetzt wird allerdings gerätselt, zu welchem Zweck diese Hintertüren eingebaut wurden und warum so viele Router in Richtung lokales Netzwerk offen sind aber so wenige nach außen ins Internet. Bekannt ist bereits, dass die betroffenen Router alle von der taiwanesischen Sercomm im Auftrag von Cisco und den anderen Unternehmen hergestellt wurden.

Ein Blick auf die drei eigenen Produkte von Sercomm zeigt, dass eines davon ein IP-basierendes Alarmanlagen-System ist, das aus Fenstersensoren, Webcams und Steuerungsmöglichkeiten für Haus- und Büroautomatisierung besteht. Die sind via WLAN mit dem "Sercomm Home Monitoring Gateway", einem internen WLAN-Router hinter der Firewall auf dem externen Router des Kunden angebunden, von dort aus geht es dann ins Internet.

Die Rolle von Port 32764

Ein solches Videoüberwachungssystem macht nur Sinn, wenn es über das Internet zugänglich ist. Wie die Grafik zeigt, loggt man sich auf einem Server von Sercomm ein und holt sich so die Videostreams aus dem überwachten Wohnhaus oder der Kanzlei von unterwegs.

Bleibt nun die Frage, wie bekommt man jene Steuerbefehle, die der Monitoring-Router etwa an die Heizungsregelung sendet und wie löst man das Streaming durch eine der Webcams von ferne aus? Dazwischen befindet sich ja die Firewall. Hier kommt nun der ominöse Port 32764 ins Spiel.

Das betreffende Produkt von Sercomm heißt ausgerechnet IP Surveillance & Home Security

Skizze eines Alarmanlagensystems von Sercomm

Sercomm

Ist er in Richtung Internet offen, geht das natürlich einfach, die Befehle werden an der Firewall vorbei direkt an den internen "Sercomm Surveillance Router" weitergegeben, der die Webcams steuert. Wie aber soll das funktionieren, wenn dieser Port eben nicht nach außen offensteht wie bei der Mehrzahl der bisher identifizierten Geräte?

Das Loch in D-Link-Routern

Eine im Oktober bekannt gewordene Hintertür in einer Vielzahl von Routern der Firma D-Link zeigt, wie das funktioniert. Man braucht nur die IP-Adresse des Routers herausfinden, die ist im Internet klarerweise sichtbar. Die gibt man im Browser ein und hängt eine bestimmte Zeichenfolge in der Adresszeile des Browsers an. Der Angreifer wird dann direkt auf das Administrationsinterface weitergeleitet und hat auch eben diesen Rang.

Genau dieselbe Funktion zur "Fernadministration" hat auch die Sercomm-Hintertür, via Port 32764 lässt sich der Router neu starten und dann lauten die Zugangsdaten zum Router automatisch "admin/admin". Für alle Sercomm-Geräte, die nur Richtung lokales Netzwerk offen sind, muss es eine ähnliche Befehlsroutine geben, die noch nicht bekannt ist. Man klopft von außen mit einem Skript auf Port 80 an, der immer offensteht, weil der WWW-Verkehr darüber läuft und wird dann auf Port 32764 umgeroutet.

Das Reverse Engineering der Hintertür in D-Link-Routern

Screenshot der Benutzeroberfläche von D-Link

http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

Der Grund für die Obskurität

Im Fall von D-Link wurde diese Befehlsroutine für den Browser nur gefunden, weil die "Firmware" also das Betriebssystem des Routers aufwändig zerlegt wurde ("Reverse Engineering"). Im aktuellen Fall der Router von Cisco, Linksys und Netgear geschah das nicht, Entdecker Eloі Vanderbeke konzentrierte sich vielmehr darauf, möglichst viele Modelle verschiedener Hersteller zu testen, um die Verbreitung des Problems einzuschätzen.

Der ominöse Port 32746 wurde im erstmals 2003 in einem Support-Forum für Netgear-Router thematisiert

Das ist auch schon der Hauptgrund, warum dem seit 2003 bekannten Port 32764 nicht weiter nachgegangen wurde. "Reverse Engeneering" von nicht dokumentierter Hardware samt einem proprietären Betriebssystem verlangt gute Hardwarekenntnisse, ist noch dazu ungemein schwierig und sehr zeitaufwändig. Dazu kommt, dass es sich um Geräte handelt, mit denen der eigene Internetzugang steht und fällt. Auch risikobereite Hacker experimentieren deshalb selten mit Routern, die sie aktuell in Verwendung haben und obendrein ist der Spaßfaktor dabei sehr begrenzt.

Die NSA weiß Bescheid

Die NSA hingegen unterhält das weltweit größte Forschungslabor für solche Hardwaretests, in dem sämtliche neu auf den Markt gekommenen Geräte systematisch auf solche Hintertüren und andere Schwachstellen getestet werden.

Wie die NSA-Enthüllungen vom Dezember zeigen, verfügt der Geheimdienst über umfangreiche Listen mit Sicherheitslöchern von allen gängigen Routern. Man hat es also gar nicht nötig, selbst alle möglichen Geräte zu kompromittieren, wenn bereits vom Produzenten Hintertüren eingebaut wurden.

Für die sichere Konfiguration einer Firewall sperrt man alle Ports, die nicht benötigt werden, vor allem die exotischen im oberen Bereich ab 10.000 werden pauschal deaktiviert. Sodann fährt man zur Überprüfung noch einmal Scans, die in der Regel nur bis 10.000 gehen. Welche Dienste auf welchen TCP/IP-Ports aktiv sind zeigt diese Liste der TCP/IP ports

Während die Sicherheitslücke bei D-Link dem Hersteller ermöglichte, ohne Mitwirkung und Wissen des Kunden Softwareupdates auf seine Router aufzuspielen, ist bei Sercomm ein direktes finanzielles Motiv unübersehbar.

"Plug and Play" als Grund

Eine große Zahl von Routern, die vor Ort beim Kunden standen, waren schon fertig konfiguriert, um die Überwachungssysteme Sercomms dahinter anzuschließen. Das ist ein kaum zu überschätzender Marktvorteil gegenüber den vielen Mitbewerbern, wenn das eigene Produkt "Plug and Play" funktioniert, während die Überwachungsanlagen der Konkurrenz auf jedem Kundenrouter einzeln freigeschaltet werden müssen.

Rolle und Wissen von Cisco

Einen Anruf beim Support von Cisco kann man sich sparen. Im Fall des von ORF.at getesteten Modells WRVS4400n teilte der Cisco-Techniker in amüsiertem Tonfall mit, dass es weder technischen Support noch Software-Updates dafür geben werde, denn dieses Gerät werde ja bereits seit 2012 nicht mehr produziert. Dabei ist die Firma für die Sicherheitslücken in 15 der insgesamt 30 identifizierten Router direkt verantwortlich.

Wenn Cisco nichts von dieser gemeinen Backdoor wusste, dann wurden die Sercomm-Router von Cisco/Linksys jahrelang nicht auf ihre Sicherheit getestet. Im anderen Fall hatte man selbst einschlägige Marketingpläne, denn Cisco ist seit fünf Jahren selbst in diesem Geschäftsbereich aktiv.

2009 ist Cisco selbst in das neue Geschäftsfeld Hausüberwachung und -steuerung eingestiegen

Die Firma Linksys befand sich nämlich seit 2003 im Besitz des Weltmarktführers, vermarktet wurden die Geräte als "Linksys by Cisco" für kleine Unternehmen, Anwaltskanzleien und Home Offices. Das ist ein Marktsegment, das Cisco bis 2003 nicht bedient hatte. Im selben Jahr wurde die Rolle des ominösen Ports erstmals in einem Forum diskutiert. Im März 2013 hatte Cisco seine Linksys-Sparte und damit die Verantwortung komplett an Belkin abgestoßen.

Sicherheitsmaßnahmen, Elektronikschrott

Credits für technische Unterstützung bei diesem Artikel an Ioni Jonak und Markus Kainz von der quintessenz

Der kompromittierte Cisco WRVS4400n wird nun durch ein Skript auf einem lokalen Server auf Neustarts und Aktivitäten via Port 32764 permanent überwacht. Sobald wie möglich wird er seiner finalen Destination als Elektronikschrott dem örtlichen Mistplatze zugeführt. Ersetzen wird ihn ein Router, der mit dem freien Linuxbetriebssystem für Router OpenWRT funktioniert.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • rosat | vor 890 Tagen, 3 Stunden, 18 Minuten

    kleiner tipp

    statt kommerziellen router mit alternativer firmware zu behacken:
    ein alix2d13 board, eine 4gb cf karte und pfsense. kostet auch nicht mehr und ist ein bisserl flexibler. gruß rosa

    Auf dieses Posting antworten
    • rosat | vor 890 Tagen, 2 Stunden, 14 Minuten

      pfsense

      ist openbsd + pf. für details einfach die o.g. stichworte in duckduckgo eintippen :-) gruß rosa

    • tantejutta | vor 889 Tagen, 23 Stunden, 6 Minuten

      Geiles Teil, muss ich

      sofort den Hackerburschen im Haushalte mitteilen.

  • wlan56 | vor 890 Tagen, 6 Stunden, 39 Minuten

    LANCOM KEINE Hintertür für Geheimdienste

    Es gibt auch die "Guten":
    Der Aachener Routerspezialist hat schon früh diese Problematik erkannt und baut Hochsicherheits-Router, die vom Bundesamt für Informationstechnik (BSI) zertifiziert sind. Eine Hintertür, durch die fremde Geheimdienste einmarschieren können, sucht man da vergeblich.
    wlan56

    Auf dieses Posting antworten
    • tantejutta | vor 890 Tagen, 4 Stunden, 45 Minuten

      Tnx für den Tipp

      Mal gucken. Such eigentlich 1en der mit OpenWRT läuft. Verlass mich nur auf Security die selbst überprüfbar ist. Also muss es Linux sein.

    • nonameposter | vor 882 Tagen, 16 Stunden, 31 Minuten

      Raspberry PI - der kleine Feine

      Ich kann nur den kleinen feinen Raspberry empfehlen. Mit Raspian (Debian auf Raspberry) hab ich mir eine Firewall/Router gebaut.
      2 LAN Anschlüsse & IPTABLES.
      Ein Zweiter RPi im Hintergrund macht mir den Proxy und den Anonymisierungsdienst per openvpn im Netz. Bin bis dato sehr zufrieden und nicht abhängig von Herstellern und deren Firmware-Spielereien (-;

  • format | vor 890 Tagen, 7 Stunden, 31 Minuten

    Wäre super...

    ... mal zu wissen, welche Geräte betroffen sind. Super Artikel, aber ohne diese Information nur für Experten nützlich.

    Auf dieses Posting antworten
    • tantejutta | vor 890 Tagen, 4 Stunden, 57 Minuten

      Oberste Linkbox rechts

      da ist die Liste der identifizierten Router verlinkt.

    • format | vor 890 Tagen, 57 Minuten

      Danke!

      Nicht gesehen am Handy.

  • maxitb | vor 890 Tagen, 8 Stunden, 58 Minuten

    Kleine Details

    Ich hab diese Sache etwas näher verfolgt und es gab in der Tat ein Menge reverse engineering von Geräten dieser Hersteller.

    Ersten, firmware zu bekommen ist äußerst schwer, man muß sie quasi illegal direkt von den Geräten ziehen und anschließend analysieren. Dabei sieht man sich die string table im Datensegment an und dabei wird man oft mit äußerst unkreativen Begiffen fündig.

    Auffallend ist vor allem, daß der Code nicht wirklich versteckt ist - und sehr unsauber implementiert. Fast ein wie wenn ein #define vergessen wurde für einen #ifdef Block. Weiters sehen die simplen Authenifizierungsroutinen meistens neben hardcoded user/password sehr nach Testcode aus; backdoors für Testing sind nichts ausergewöhnliches, da benötigt man keine ausgeklügelte Technik, da der code im release eh nicht vorkommen sollte. Allerdings wurde er hier drinnen gelassen; anfangs sicher ein versehen, später als "geheimes" feature wahrscheinlich einer Hand voll providern weitergegeben, da wie richtig erwähnt, es ermöglicht einen router remote zu steuern (und zwar zur Gänze). Eine sehr günstige Alternative in Vergleich zum Gratisserviceman, der vorbeischauen muß.

    Natürlich ist das sehr, sehr bedenklich, wie jegliche Backdoor egal für welchen Zweck. Es ist wie wenn man eine Hintertür offen laßt und es...

    Auf dieses Posting antworten
    • tantejutta | vor 890 Tagen, 4 Stunden, 44 Minuten

      tnx maxit für4 diese

      Details. Dero blicken etwas tiefer als unsereins in den Code...

  • thomast | vor 890 Tagen, 18 Stunden, 3 Minuten

    Reden wir nur über

    Wifi Router oder sonstige Router Switches?

    Im Übrigen hat man damit noch nicht alle Rechner im internen Netz, nur Zugang zu ihnen. ;)

    Also wenn die Hardware intern einigermaßen sicher ist, ist es nicht so ein großes Problem.

    Ein Problem wird es, wenn man am Router eine mim Software installiert, und/oder Passworte wie z.B. Foren, Webmail etc. im Klarext übertragen werden.

    Schlimm genug. ;)

    Auf dieses Posting antworten
    • tantejutta | vor 890 Tagen, 17 Stunden, 48 Minuten

      Wennst 1 Bug in der Story fiindest, Tom

      pse report. Der Beffe ist etwas geschwächt, weil das sagen wir, "von beträchtlichem Aufwand" war. PS spread, da steht nicht nur bei uns so eine proprietäre Schrottkiste rum. Hast 1 Tipp für 1en OpenWRT Router in der Klasse? Der Neffe äußert grade Nicht-Zitables über bestimmte Marktführer.

    • thomast | vor 889 Tagen, 49 Minuten

      Hi,

      kein Fehler in dem Sinne, lediglich ist das ein Router, Paketfilter und/oder macht Masquerading.

      Um die internen Rechner noch anzugreifen braucht es dort dann Fehler. Wenn der Router noch als Switch konfiguriert ist, kann man den internen Verkehr abhören, besser mithören, weil man kann die Daten nicht rausschleusen, wenn die externe Leitung nicht reicht.

      Problematisch wird das einerseits für diejenigen, die einen Router/Firewall dazu nutzen, das interne Netz nicht sauber zu halten.

      Andererseits für die, die eben ungesicherte Passworte übertragen, z.B. für POP3 Abfragen. Siehe: http://www.orf.at/stories/2214986/

      Habe gerade nicht geschaut, ob die Anmeldung bei orf.at über SSL geht. ;)

      Ich verwende mittlerweile seit Jahren TP Link W-Lan Router mit OpenWRT, als Switches/Router mit VPN meist Cisco, aber eben die professionelleren mit IOS.

      Im Moment probiere ich gerade aus billigen TPLink Geräten mit OpenWRT Medienserver zu machen. ;)

  • dergrossenagus | vor 890 Tagen, 21 Stunden, 16 Minuten

    na sowas

    schafft ja keinem wer, ins Internet zu gehen mit Computern, wo Kinderpornos, Raubkopien und Morddrohungen drauf gespeichert sind. Diese Dinge kann man ja auf nicht am Netz hängende Computer auslagern und natürlich voher reinschauen, ob nicht irgendwelche NSA-Wanzen drin stecken, was das trotzdem über Funk senden.

    Auf dieses Posting antworten
    • frizzdog | vor 890 Tagen, 21 Stunden, 2 Minuten

      grosseranus trägt wie üblich brillianten unsinn bei

    • tantejutta | vor 890 Tagen, 19 Stunden, 56 Minuten

      Spread the news, Leute

      es ist ein so einem Fall nur eine Frage der Zeit, bis die erste Malware auftaucht. Router hijacken ist viel lohnender als einzelne PCs. Mit dem Router hast du alle Rechner im Netz auf einmal.