Im Moment ist es wieder einmal so weit, die DSL Router, also jene Geräte, die uns mit den Internet verbinden, stehen im Kreuzfeuer der Schadsoftwareangriffe und Einbruchsversuche. Gleich drei Mal innerhalb weniger Tage wurde Entsprechendes gemeldet.
Der NetUSB-Angriff
Vor einigen Tagen wurde eine Möglichkeit beschrieben (engl.), Router, die USB-Anschlüsse besitzen, über die Drucker oder Massenspeicher dem Netzwerk insgesamt zur Verfügung gestellt werden, über die dazu verwendete NetUSB-Technik anzugreifen. Auf vielen Routermodellen ist eine anfällige Treiber-Software installiert, die diese verhältnismäßig leicht auszunutzende Lücke enthält.
Besonders tragisch ist, dass man bei den meisten Modellen weder die Möglichkeit hat, den betreffenden Treiber abzuschalten, noch durch andere Maßnahmen einzuschreiten. Man kann lediglich darauf hoffen, dass die benachrichtigten Hersteller möglichst bald Updates liefern. Leider werden diese Updates nur von den wenigsten Router-Besitzern tatsächlich eingespielt, da der DSL-Router von ihnen nach wie vor nicht als gefährdetes Gerät erkannt wird.
Durch einen Pufferüberlauf kann ein Angreifer eigenen Programmcode auf dem Router ausführen. Bei Routermodellen, die den zu NetUSB gehörigen Port 20005 auch über das Internet freigeben, kann zudem aus dem Internet ein Zugriff auf an USB angeschlossene Geräte erfolgen.
Immerhin sind die hierzulande weit verbreiteten Fritz-Boxen des Herstellers AVM von diesem Fehler nicht betroffen.
Cross-Site Scripting über den Chrome Browser
Bei der zweiten Lücke handelt es sich um einen komplexen Angriff auf Benutzer des Browsers Chrome, bei dem durch Cross Site Scripting der Router attackiert (engl.) wird. In diesem Fall wird der Router so umkonfiguriert, dass er gefälschte DNS-Einträge annimmt. DNS-Einträge dienen dazu, menschenlesbare Adressen wie computer-service-remscheid.de in IP-Adressen umzuwandeln, die Computer verstehen. Normalerweise enthält der Router eine gewisse Liste bekannter DNS-Einträge und fragt für alles weitere die DNS-Server des Providers. Wenn man ihm an diesem Punkt aber eine falsche Information unterschiebt oder ihn mit von den Gaunern kontrollierten DNS-Servern verbindet, dann verbindet der Router die gewünschte Adresse mit einem völlig anderen Ziel, das die Angreifer selbst kontrollieren. So kann zum Beispiel der Zugriff auf eine Bank-Webseite auf einen völlig anderen Server mit einer gefälschten Seite umgeleitet werden.
Moose – ein Rentier auf Abwegen
Ein Wurm, der Router befällt, wird Moose genannt (engl., PDF). Dieser Wurm nutzt keine besondere Sicherheitslücke, sondern lediglich die Tatsache, dass viele Router nicht oder nur unzureichend passwortgeschützt sind. Er versucht, Passwörter zu erraten (die voreingestellten Passwörter diverser Routermodelle sind frei im Netz zu finden und dürften für sehr viele Geräte bereits ausreichen) und macht sich im Erfolgsfall auf dem Router breit. Von dort aus, man höre und staune, benutzt er soziale Netzwerke und verteilt unter anderem Gefällt mir-Klicks. Außerdem verbreitet er sich im lokalen Netzwerk des Routers auf weitere Geräte, die vergleichbar schlecht geschützt sind.
Die Nutzung der sozialen Netzwerke dient dem Like-Betrug, damit können Beiträge künstlich in ihrer Position gestärkt werden. Das klingt nicht besonders bedrohlich, aber der Wurm kann pontentiell noch viel mehr Schaden anrichten und unter anderem auch die oben beschriebenen DNS-Umleitungen vornehmen. Das tut er zwar bisher nicht, aber er könnte entsprechende Updates erhalten.
Es sollte damit also endgültig klar sein, dass auch der DSL-Router besondere Aufmerksamkeit benötigt, um seine Sicherheit zu gewährleisten. Leider sind die Hersteller nicht immer zügig bereit, Updates zu liefern. Aber jeder Besitzer eines DSL-Routers sollte gelegentlich nach Updates schauen oder gar, wo das möglich ist, automatische Updates einstellen, und er sollte das System auf dem Router sicher konfigurieren (lassen) und sich insbesondere nicht auf die Voreinstellungen verlassen.
