Flickwerk

Patch soll Router-Sicherheitslücke beheben - und baut eine Hintertür ein

Ein Firmware­update für Netgear-Router soll eine Sicherheits­lücke schließen. Doch laut einem Experten ist eine Hintertür eingebaut, um die Lücke wieder zu öffnen - mit Absicht des Herstellers.
Von Susanne Kirchhoff

Netgear-Router Netgear-Router
Foto: teltarif.de Zum Beginn dieses Jahres veröffentlichte der Sicherheitsexperte Eloi Vanderbeken Informationen über eine Hintertür in diversen Routern. Betroffenen sind vor allem Modelle von Netgear und Linksys. Bei der Analyse eines von Netgear zum Schließen der Sicherheits­lücke bereitgestellten Patches stellte Vanderbeken nun fest, dass dieser das Problem nur scheinbar behebt - mithilfe einer speziellen Nachricht lässt sich die Hintertür jederzeit wieder öffnen. Zudem verdichten sich die Anzeichen, dass die Hintertür vom Auftrags­hersteller SerComm mit Absicht in die Geräte eingebaut worden ist.

Im Dezember hatte der Sicherheits­experte einen Linksys-Router untersucht und stellte fest, dass auf dem Port 32764 ein unbekannter Dienst lauschte. Über diesen Port gelang es ihm dann, ohne Passwort oder Benutzernamen Einstellungen am Router auszulesen und neue vorzunehmen. So könnte ein Angreifer auf diese Weise an Passwörter gelangen, weitere Geräte ins lokale Netzwerk bringen oder den Router auf Werks­einstel­lungen zurücksetzen. In der Folge stellte sich heraus, dass auch zahlreiche andere Router-Modelle von Netgear, Linksys, Cisco und weiteren Herstellern betroffen sind.

Hintertür lässt sich im LAN wieder öffnen

Netgear-Router Netgear-Router Netgear-Router
 In seiner aktuellen Untersuchung des Patches stellte Vanderbeken nun fest, dass die Hintertür nur ober­flächlich verschlossen ist. Denn nach der Installation des Patches sei es möglich, sie mithilfe einer "Geheimnachricht" wieder zu öffnen. Diese besteht aus einem Ethernet-Paket mit dem MD5-Hashwert des Router-Modellnamens. Der Sicherheits­experte sieht das als Beleg dafür, dass der Patch von SerComm stammt und die Hintertür absichtlich eingebaut wurde, da dieses Format auch in einer älteren Wartungssoftware von SerComm benutzt wird. Zum Ausnutzen der neuen Sicherheits­lücke muss sich ein Angreifer im gleichen lokalen Netzwerk oder auf Ebene des Internet-Providers (ISP) befinden.

Etwa 30 Modelle von Netgear, Linksys und anderen betroffen

Durch ein von Vanderbeken zur Verfügung gestelltes Skript wurden bisher knapp 30 Router-Modelle identifiziert, welche die ursprüngliche Sicherheits­lücke besitzen (zur Liste). Das Ausnutzen der Hintertür ist bei der Mehrheit bereits auf LAN- und ISP-Ebene beschränkt. Bei vier Modellen kann hingegen auch ein Zugriff über das Internet erfolgen: Linksys WAG120N, Netgear DG834B, Netgear DGN2000 und Netgear WPNT834.

Update 24. Februar: So ist die aktuelle Lage bei Cisco, Netgear und Linksys

teltarif.de hat Stellungnahmen von den Herstellern Netgear, Cisco und Linksys zur neuen Sicherheitslücke und der ursprünglichen Router-Hintertür erhalten. Für einige Modelle gibt es Firmware-Updates, die die Hintertür endgültig schließen - sie lässt sich dann auch nicht mehr öffnen. Andere könnten hingegen die gleiche Schwachstelle besitzen wie der Netgear-Router oder sind nach wie vor anfällig für Angriffe über die ursprüngliche Hintertür. Wir haben für Sie die Sicherheitslage für die betroffenen Geräte von Cisco, Netgear und Linksys zusammengefasst.

Mehr zum Thema Sicherheitslücke