Erste aktive Angriffe auf DSL-Router [Update]

Man-in-the-Middle ist out, Man-in-the Router ist in. Musste man sich in den vergangenen Jahren nur selten Gedanken über die Sicherheit seines Routers machen, so häufen sich in den letzten Wochen Meldungen über Schwachstellen darin. Nun berichtet Symantec in seinem Blog sogar über erfolgreiche Angriffe auf die Router mexikanischer Internet-Anwender, denen mittels eines simplen eingebetteten Links in einer präparierten HTML-Mail die Namensauflösung verbogen wurde. Die Angreifer nutzten quasi den Mailclient des Anwenders, um den Router "über Bande" mittels eines GET-Requests umzukonfigurieren. Die präparierte Mail kam als E-Mail-Benachrichtigung über eine E-Card daher. Ähnliche Angriffe gab es auch über manipulierte Webseiten mit speziellen Links.

In der Folge der Änderung löste der Router eine Namensanfrage an eine bekannte mexikanische Bank mit der IP-Adresse einer Phishing-Seite auf. [Update] Dabei machten sich die Phisher offenbar zunutze, dass die Änderung auf den Routern ohne Angabe des Passworts möglich war. Wie viele Anwender Opfer der Phisher wurden, ist nicht bekannt. Nicht immer funktioniert ein Angriff ohne Passwort, aber es gibt genügend Lücken bei denen es ohne funktioniert. [/Update]

Erst vergangene Woche wurden Schwachstellen in Routern bekannt, die hauptsächlich in Großbritannien verbreitet sind. Dabei lässt sich eine Cross-Site-Scripting-Lücke im Login-Dialog ausnutzen, um den Router über seine UPnP-Schnittstelle umzukonfigurieren – und UPnP verzichtet dabei auf jegliche Authentifizierung. Berichten zufolge soll der Angriff auf UPnP-Router auch ohne XSS-Lücke funktionieren. Dabei sollen spezielle Flash-Applets mittels ActionScript ebenfalls in der Lage sein, Router umzukonfigurieren, bei denen UPnP aktiviert ist.

Zuvor war bereits ein Schwachstelle im beliebten Linksys-Router WRT54GL bekannt geworden, die das Problem des seit drei Jahren bekannten Session Riding beziehungsweise Cross Site Request Forgery (CSRF) verdeutlichte. Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Neben dem Abschalten der Firewall ist denkbar, dass der Angreifer die WLAN-Verschlüsselung abschaltet. Ein Posting auf Bugtraq zufolge soll dies bei dem Modell Alice Gate 2 Plus WiFi mit folgender URL ohne Authentifizierung funktionieren.

http://192.168.1.1/cp06_wifi_m_nocifr.cgi?wlChannel=Auto&wlRadioEnable=on

Dabei kann der Link in einer Mail, einer Webseite oder einer Chat-Nachricht steckten.

Anwender sollten sich künftig mehr Gedanken über die Sicherheit ihrer Router machen. Das Argument, dass der Router ja nicht von außen erreichbar und somit kein unbefugter Zugriff möglich sei, lässt sich so nicht mehr aufrechterhalten. Grundsätzlich sollte man das Standardpasswort sofort nach der Inbetriebnahme auf ein nicht leicht zu erratendes Kennwort ändern. Bei Routern mit UPnP-Funktion sollte sich der Anwender fragen, ob er diese Funktion überhaupt benötigt und sie lieber deaktivieren.

Außerdem ist es ratsam, statt des vordefinierten Subnetzes (oftmals 192.168.1.0) auf ein anderes zu wechseln (etwa 192.168.23.0), um üblichen Angriffen aus dem Weg zu gehen. Zur Wahl stehen dabei die Netze 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8 (eine Liste aller reservierten Adress-Blöcke ist hier zu finden: Special-Use IPv4 Addresses (RFC 3330). Zudem hebt man die Latte ein wenig höher, wenn der Router nicht unter .1 zu finden ist, sondern beispielsweise unter .42. Sofern der Router alle notwendigen Daten per DHCP im Netz verteilt, sollte auf den Clients keine Umkonfiguration notwendig sein.

Siehe dazu auch:

• Drive-by Pharming in the Wild!, Blogeintrag von Symantec
• Ungewollte Fernkonfiguration für Heim-Router, Meldung auf heise Security
• Präparierte Webseite schaltet Firewall im Router aus, Meldung auf heise Security

(dab)