Port-Hintertür in Routern: Hersteller reagieren und wollen Updates liefern

Hersteller wollen Firmware-Updates liefern
Pavel-Morozov---Fotolia-com.jpg An­fang des Jah­res berich­teten wir über eine Hinter­tür in Rou­tern von Linksys, Netgear und Cisco. Dabei konnte ein be­stimmter TCP-Port aus­genutzt werden, um Da­teien auf dem Rou­ter auszu­lesen und zu manipu­lieren sowie ihn auf Werks­ein­stellungen zurück zu setzen. Mittler­weile rea­gierte nun Cisco mit einer Sicher­heits­warnung auf die Schwach­stelle.

Hersteller wollen Firmware-Updates liefern
Pavel-Morozov---Fotolia-com.jpg Der Netzwerkausrüster nennt in der Warnung drei betroffene Geräte: Den WAP4410N Wireless-N Access Point, den WRVS4400N Wireless-N Gigabit Security Router und den RVS4000 4-port Gigabit Security Router. Auf diesen Geräten ist es laut Cisco möglich, über den TCP-Port 32764 - per LAN oder WLAN - vollständigen Zugriff auf das Gerät zu bekommen. Laut der GitHub-Seite des Reverse Engineers Eloi Vanderbeken kann zumindest das erste Gerät auch über das Internet erreicht werden.

Cisco verspricht seinen Kunden nun ein kostenloses Firmware-Update, welches noch im Januar ausgeliefert werden soll. Eine Möglichkeit, den Port bis zu dieser Aktualisierung abzusichern, gibt es laut dem Unternehmen allerdings nicht. Gegenüber den Kollegen von heise Security bestätigte auch Netgear, dass einige ältere Geräte von diesem Problem betroffen sein, allerdings nur dann, wenn der Angreifer sich im lokalen Netz des Routers befinde. Gegen diese Aussage spricht jedoch, dass eine Port-Abfrage mit Hilfe der Suchmaschine Shodan auch Geräte mit Netgear-Kennzeichnung findet. Die Formulierung "ältere Geräte" lässt dem Hersteller jedoch einigen Definitionsspielraum. Von Linksys gab es dagegen nur die Antwort, dass das Problem untersucht werde und eine entsprechende Lösung angeboten werden wird.

SerComm-Firmware scheint als Ursache bestätigt

Mittlerweile wurde auf der oben verlinkten GitHub-Seite auch ein Sourcecode-Ausschnitt hochgeladen, der zu bestätigen scheint, dass der Port tatsächlich durch SerComm geöffnet wurde. Gefunden wurde dieser in den GPL-Quellen von Cisco. Die Lizenz dieser Datei weist darauf hin, dass diese Hintertür mindestens seit 2005 zu existieren scheint. Vereinzelte Nachfragen in den Foren der Hersteller gab es allerdings jedoch schon vorher.

Auf der GitHub-Seite finden sich mögliche Wege, den Port zumindest bis zum Update durch den Hersteller zu schließen beziehungsweise das Program, das auf den Port lauscht, im Router zu deaktivieren. So gibt es beispielsweise die Empfehlung, den Port über eine Regel in der Firewall des Routers zu deaktivieren oder aber eine alternative Routerfirmware, zum Beispiel OpenWrt oder Tomato auf dem Gerät zu installieren. Das Ergebnis dieser Bemühungen fällt jedoch sehr gemischt aus, da der Erfolg maßgeblich von dem verwendeten Endgerät abhängt. Auch eine Liste der betroffenen beziehungsweise entlasteten Geräte findet sich hier.

Wie findet man heraus, ob der eigene Router betroffen ist?

Eloi Vanderbeken hat in dem Repository ein Python-Skript zur Verfügung gestellt, das es ermöglicht, den eigenen Router zu überprüfen. Das setzt allerdings voraus, dass Python auf dem jeweiligen Computer installiert ist. Zudem muss sich der Rechner, auf dem das Skript ausgeführt werden soll, in demselben Netzwerk wie der Router befinden. Grundsätzlich ist auch eine Abfrage über das Kommandozeilen-Programm telnet möglich. Hier kann es allerdings zu Falsch-Positiv-Aussagen kommen. Ein Test mit dem erwähnten Skript prüft, ob der Port erreicht werden kann, wenn sich ein Angreifer bereits im Netzwerk befindet.

Sollte das Ergebnis des Skripts die Erreichbarkeit des Ports bestätigen, empfiehlt es sich zu testen, ob der Port auch über das Internet erreicht werden kann. Grundsätzlich muss dazu ein Port-Scan durchgeführt werden. Dieser darf ausdrücklich und ohne Ausnahme aber einzig und alleine das eigene Netzwerk betreffen. Interessierte finden jedoch im Internet Anleitungen, Webseiten und Programme die sie dabei unterstützen. Sollte der Port im LAN oder WLAN erreichbar sein, kann - wer will - auch einen Hinweis an Vanderbeken schicken - natürlich nur solange, wie sich das Gerät nicht schon auf der oben erwähnten Liste befindet.