Nachrichten

Immer häufiger treten Sicherheitslücken bei Routern auf

Internet | HT4U.net
Wer mit einem Router surft, begibt sich sicherer ins Internet — das dachte man bisher. Doch immer häufiger finden Angriffe auf die Router statt. Dabei sind die Fehler nicht nur beim Endkunden zu finden, sondern auch schlechte Firmware führt zu den Attacken. Jetzt sind in kurzer Zeit gleich mehrere Sicherheitslücken aufgekommen, auf welche die verschiedensten Router ansprechen. Erschreckend ist auch, dass mittlerweile ein Trojaner für Router im Internet existiert.

Die erste Schwachstelle betrifft vor allem die Kunden des Internetproviders Swisscom, welcher seinen Kunden mit den Routern Arcadyan SMCA1T-A und -B ausstattet. Wie der Blog von Benedikt Köppel erklärt, werden diese durch den offen Port 9000 angegriffen, der eigentlich für die Fernwartung gedacht ist. Das Problem ist, dass die Installations-Software von Swisscom ihren Kunden nicht vorschlägt, dass Passwort zu ändern. Dies ist nur im Experten-Modus bei der manuellen Router-Konfiguration möglich. Dementsprechend gibt es zahlreiche Kunden, die mit dem Standard-Passwort im Internet unterwegs sind. Durch den offenen Port 9000 und dem Standard-Passwort lässt sich das Konfigurationsmenü des Routers aufrufen und der Angreifer hat vollen Zugriff auf die Daten, Einstellungen und auch auf angeschlossene Geräte. Seitens Swisscom gibt es mittlerweile auch eine Stellungnahme, in welcher empfohlen wird das Passwort zu ändern und auf das Firmware-Update zu warten.

Doch die Arcadyan-Router sind auch bei der Telekom im Einsatz, dort aber zu Speedport umgelabelt. Auch sie hat bereits reagiert und wartet nicht nur auf das Firmware-Update sondern hat kurzer Hand den Port 8055, welcher bei der Telekom für die Fernwartung gedacht ist, geschlossen und somit den Kunden zunächst diese Option gänzlich gesperrt.

Trojaner manipulieren Router-Einstellungen

Wesentlich allgemeiner ist die Gefahr durch den Trojaner ″Zlob″, der seit einiger Zeit existiert. Dieser wird meist durch einen scheinbaren Video-Codec auf dem Computer installiert und greift dann auf den Router zu. Dabei nutzt er eine Liste von möglichen Benutzernamen und Passwörtern um auf den Router zu zugreifen. Auch hier sind besonders die Router betroffen, welche noch mit dem Standardpasswort arbeiten. Ist der Zugriff durch ″Zlob″ erfolgreich, ändert er den DNS-Server und alle Zugriffe auf das Internet laufen dann über den Angreifer. Dieser hat dann die Möglichkeit persönliche Daten auszulesen oder dem Opfer falsche Internetseiten unterzuschieben. Besonders brisant ist, dass der geänderte DNS-Server auch dann noch aktiv bleibt, wenn der Trojaner bereits entdeckt und entfernt wurde.

Um hier wieder für Sicherheit zu sorgen muss der Computer zunächst vom Router getrennt und der Trojaner sorgfältig entfernt werden. Anschließend muss der Router vollständig zurückgesetzt und neu eingestellt werden. Der Trojaner wurde, wie die Washington Post berichtet, mit den Routern Buffalo DD-WRT und Linksys BEFSX41 getestet, welche beide im Auslieferungszustand waren. Beide Router waren nach kurzer Zeit infiziert. Aber auch für andere Router besteht diese Gefahr.

Die aktuellen Ereignisse zeigen deutlich, dass auch ein Router, mit oder ohne Firewall, keine Garantie für sicheres surfen ist. Grundsätzlich sind im Zusammenhang mit den aktuellen Meldungen über die Sicherheitslücken von Routern zwei Dinge zu beachten. Erstens sollten nicht blind irgendwelche Codecs installiert werden um auf fragwürdigen oder unbekannten Seiten irgendwelche Inhalte angezeigt zu bekommen. Zweitens sollten bei Routern grundsätzlich das Zugriffspasswort geändert werden. Dies ist auch für unerfahrene Nutzer zu bewerkstelligen. Ein Blick in die Anleitung, welche meist auch im Internet zu finden ist, hilft im Zweifel weiter.
[]







Stichworte zur Meldung: Buffulo Linksys Firmware Daten Viren Zlob Telekom Speedport Arcadyan