House of Keys: Millionen von Geräten mit kompromittierten Krypto-Schlüsseln im Netz
Eine Sicherheitsfirma schätzt, dass für 9 Prozent aller SSL-Endpunkte im Netz die privaten Schlüssel bekannt sind. Damit könnten Angreifer sich als diese Server ausgeben und Router, Modems und VoIP-Telefone im selben Netz ausspionieren.
- Fabian A. Scherschel
Viele Endbenutzer-Geräte wie Router und NAS-Systeme recyclen Schlüssel und Zertifikate für SSH- und SSL-Verbindungen und liefern die privaten Schlüssel gleich mit. Forscher der Sicherheitsfirma SEC Consult haben nun die öffentlich zugängliche Firmware von mehr als 4000 Geräten untersucht und dabei 580 solcher privater Schlüssel ausheben können. Da diese öffentlich zugänglich sind, kann sich nun ein Angreifer im selben Netz mit den betroffenen Geräten verbinden und als legitimer Gesprächspartner ausgeben.
So gut wie alle namhaften Hersteller betroffen
Betroffen sind Kabel- und DSL-Router, Modems, Internet Gateways, VoIP-Telefone und mit dem Internet verbundene Kameras. Von den 580 von den Forschern gefundenen Schlüsseln werden mindestens 230 momentan aktiv genutzt. SEC Consult schätzt, dass 9 Prozent aller SSL-Endpunkte im Netz betroffene Zertifikate einsetzen – insgesamt 3,2 Millionen Systeme. Außerdem sollen 6 Prozent aller öffentlich auffindbaren SSH-Hosts betroffen sein.
SEC Consult fand über 900 betroffene Produkte von 50 Herstellern, die auf diese Art geschlampt haben. Die Liste liest sich wie ein Who's Who der namhaften Hersteller von Routern: Alcatel-Lucent, Cisco, D-Link, DrayTek, Huawei, Linksys, Netgear, TP-Link, Trendnet, Tenda und Zyxel. Die Deutsche Telekom, General Electric, Motorola und Vodafone sind auch betroffen. Aber auch die Festplatten-Hersteller Seagate und Western Digital sind auf der Liste – deren NAS-Geräte bohren sich gerne per UPNP Weiterleitungen durch die Router-Firewall und exponieren so die Sicherheitslücke im öffentlichen Netz.
Daniel von Broadcom und sein Zertifikat
Einige der privaten Schlüssel finden sich auf Geräten verschiedener Hersteller wieder. Wahrscheinlich stammen diese von OEMs, die ihre Hardware an andere Firmen weiterverkaufen. In einem Fall fanden die Forscher ein Zertifikat aus einem Broadcom-SDK, das auf einen gewissen Daniel ausgestellt ist und sich auf fast einer halben Million Geräte im öffentlichen Netz wiederfinden lässt.
Auch mehrere Internet-Dienstanbieter wie CenturyLink in den USA, China Telecom, Telstra und Telefónica beziehungsweise Moviestar in Spanien scheinen in ihrer Router-Firmware Mist gebaut zu haben. Viele von ihnen setzen durch die unachtsame Verwendung von privaten Schlüsseln hunderttausende ihrer Kunden einem Sicherheitsrisiko aus.
Fixes lassen auf sich warten
Die SEC-Forscher haben bereits im August das CERT/CC der Carnegie Mellon über das Problem informiert. Das CERT hat viele der betroffenen Hersteller informiert und einige haben damit begonnen, die Lücken zu stopfen. Mehr Informationen zum Umgang der einzelnen Hersteller mit dem Problem und eventuell zur Verfügung stehenden Updates finden sich im Advisory des CERT/CC.
Nutzer von Geräten der betroffenen Hersteller sollten Updates, soweit möglich, zügig einspielen. Bei manchen Geräten können Zertifikate und Schlüssel vom Nutzer in Eigenregie geändert werden, was allerdings nicht trivial ist und im schlimmsten Fall dazu führen kann, dass die Geräte nicht mehr korrekt funktionieren. Nutzer, die diesen Lösungsansatz erwägen, sollten sich mit dem Hersteller ihres Gerätes in Verbindung setzen – oft ist dies aber einfacher gesagt als getan. (fab)