Keine Entwarnung beim Router-Farming

Laut Mitarbeitern der tschechichen CZ.NIC Labs gibt es weltweit mehr als eine halbe Million Router, die ihre Konfiguration und damit das Zugangspasswort unbemerkt herausgeben. Angreifer können Nutzer der Router auf Phishing-Seiten umleiten.

In Pocket speichern vorlesen Druckansicht 42 Kommentare lesen
Lesezeit: 3 Min.
Von

Zahlen aus den Labs der tschechischen CZ.NIC zeigen, dass das Kapern von Routern unter Ausnutzung der rom0-Schwachstelle überwiegend ungehindert weitergeht. Im Frühjahr hatte Team Cymru unter dem Stichwort Soho Pharming weltweit noch rund 300[.]000 kompromittierte Router gemeldet. CZ.NIC-Mitarbeiter Tomáš Hlaváček stellte jetzt beim RIPE69-Treffen in London Zahlen vor, die darüber liegen und in einzelnen Ländern sogar zunehmen.

Über das Muster http://Router-IP-Adresse/rom0 lässt sich von betroffenen Geräten die Konfiguration herunterladen – darin befindet sich auch das Router-Passwort. c't hat das Problem im Beitrag Willige Router-Armee dokumentiert. So spürte c't allein in Deutschland etwa 100.000 potenziell verwundbare Router von D-Link, LevelOne, TP-Link und Zyxel auf. Stichproben zeigten, dass man viele auch tatsächlich mit wenig Aufwand übernehmen könnte. Angreifer könnten anschließend etwa von außen die DNS-Einstellungen ändern und Anfragen von vertrauenswürdigen auf Phishing-Seiten umleiten. Die tschechischen Forscher waren auf genau solche Angriffswellen auf ihre Turris-Router aufmerksam geworden, einer Eigenentwicklung für tschechische Nutzer.

Ein erster Scan von Hlaváček über das gesamte Internet ergab im Mai, dass weltweit bereits über 1,2 Millionen Heim-Router betroffen waren. Ende Oktober sei die Rate zwar auf etwa die Hälfte zurückgegangen. Jedoch zeigen die monatlichen Messungen, dass in einzelnen Ländern die Zahlen sogar wieder steigen. In Indien etwa gab es im Oktober fast doppelt so viele offene Heim-Router wie noch im Mai.

In Italien sind wegen eines ganz langsamen Rückgangs von 116[.]000 im Mai auf 90[.]000 im Oktober inzwischen die meisten verwundbaren Geräte zu finden. In Deutschland sind die Zahlen mit knapp 1200 Exemplaren überschaubar. Jedoch haben sie sich nach dem Schreck der ersten Veröffentlichungswelle zu dem Problem wieder leicht erhöht.

Betroffen sind laut übereinstimmenden Erkenntnissen von Team Cymru und CZ.NIC Modelle verschiedener Router-Hersteller, darunter D-Link, Micronet, Tenda, TP-Link oder auch Zyxel. Es sind jedoch nicht nur alte Router-Modelle, sagt Hlaváček. Vielmehr habe er just den ersten Hinweis auf einen angreifbaren IPv6-fähigen Router von Edimax erhalten.

Das Thema Router-Sicherheit, das zuletzt hierzulande durch Versäumnisse beim Einspielen wichtiger Sicherheits-Updates in verwundbare Fritzboxen viel Aufmerksamkeit erhielt, beschäftigt auch das Bundesamt für Sicherheit in der Informationstechnik. Fürs kommende Jahr erwägt man dort auch Router-Tests für verschiedene Schwachstellen. Ob Ihr Router von der rom0-Schwachstelle betroffen ist, können Sie über einen Online-Dienst von CZ.NIC Labs prüfen. Um zu testen, ob die Fernwartungsfunktion Ihrer Fritzbox verwundbar ist, können Sie den Service von heise Security nutzen. (dz)