Überwachung?

Hintertür in Routern von Linksys und Netgear entdeckt

Ein Reverse Engineer hat einen offenen Port in seinem Router entdeckt, über den die Konfiguration ausgelesen und verändert werden kann. Offen und nutzbar ist der TCP-Port 32764 anscheinend vor allem bei Geräten von Netgear und Linksys beziehungsweise Cisco.
Von Kaj-Sören Mossdorf

Hintertür in Netgear-Routern entdeckt. Hintertür in Netgear-Routern entdeckt
Bild: teltarif.de Dass man seine Passwörter mal vergisst? Passiert. Dass das Router-Passwort dabei mal verloren geht? Kann vorkommen. Dass man die Firmware des Routers analysiert, um Zugriff auf die Admin-Oberfläche zu bekommen? Diesen Weg wählen wohl hingegen nur wenige Menschen. Genau das hat Eloi Vanderbeken, seines Zeichens Reverse Engineer, nun aber getan. Das, worüber er dabei gestolpert ist, darf zumindest als besorgniserregend bezeichnet werden.

Hintertür in Netgear-Routern entdeckt. Hintertür in Netgear-Routern entdeckt
Bild: teltarif.de Um Zugriff auf die Firmware des Routers zu erhalten, analysierte er, welche Ports an seinem Router offen sind. Dabei stieß er auf den TCP-Port 32764, an dem ein unbekannter Dienst lauschte. Informationen, dass dieser Port bei einigen Routern verwendet wird, sind schon länger bekannt, bisher war es aber nicht gelungen, herauszufinden, wozu er dient. Eine, in einer Powerpoint-Präsentation sehr amüsant beschriebene, Analyse führte nun zu dem Ergebnis, dass sich über diesen Port Einstellungen am Router vornehmen und auslesen lassen. Beispielsweise lässt sich der Router auf die Werkseinstellungen zurücksetzen, oder aber die Passwörter im Klartext auslesen. Eine vollständige Liste der Möglichkeiten findet sich in besagter Präsentation.

Weltweit etwa 3000 IP-Adressen über den Port ansprechbar

Eine Suche mit Hilfe von Shodan förderte 63 IP-Adressen in Deutschland zutage, die auf eine Anfrage an diesem Port reagierten. Weltweit sind es ungefähr 3000 IP-Adressen. Das deutet daraufhin, dass der Port zumindest in einigen Fällen auch über das Internet erreichbar ist.

Bisher ist diese Hintertür auf einigen Netgear- und Linksys- beziehungsweise Cisco-Routern gefunden worden. Während sich hinter einigen Modellen noch ein Fragezeichen findet, beispielsweise weil sie nur bei bestimmten Versionen auftritt, gilt die Sicherheitslücke bei anderen Routern als bestätigt. Eine vollständige Liste der bisher getesteten Geräte findet sich auf der Sourcecode-Management-Plattform GitHub.

Gemeinsamer Nenner scheint die Firma SerComm zu sein. Grund für diese Vermutung ist die Zeichenfolge "ScMM", die die betroffenen Router zurückgeben, wenn sie auf besagtem Port angesprochen werden. Die oben genannte Firma hat demnach zumindest einige der betroffenen Geräte produziert [Link entfernt] . Sie soll auch Unternehmen wie LevelOne oder Belkin beliefert haben. Wie viele Router betroffen sind, ist derzeit unbekannt. Wer sichergehen will, ob sein Router betroffen ist und über das nötige Wissen verfügt, der kann ein Skript nutzen, das Vanderbeken im oben verlinkten Repository zur Verfügung gestellt hat.

Mehr zum Thema Sicherheitslücke