Router-Zugang durch die Hintertür

Der Sicherheitsexperte Craig Heffner hat eine Angriffstechnik vorgestellt, die Zugang zum Web-Frontend vieler Router verschaffen kann. Das Bundesamt für Sicherheit in der Informationstechnik gibt aus diesem Anlass Tipps, die unter anderem gegen diese Angriffe schützen.

In Pocket speichern vorlesen Druckansicht 140 Kommentare lesen
Lesezeit: 3 Min.

Über ein paar Tricksereien mit der Namensauflösung kann sich ein Angreifer unter gewissen Umständen Zugang zum Web-Frontend eines Routers verschaffen. Ist dieses dann unzureichend gesichert, stehen ihm damit Tür und Tor offen. Wie Craig Heffner in seinem Vortrag auf der Black Hat selbst zugab, ist in dem Angriff jedoch nicht viel grundsätzlich Neues enthalten. Er mixt eher ein paar Zutaten wie DNS-Rebinding und laxe Zugriffsregeln auf Routern raffiniert zusammen, um auf ein existierendes Problem aufmerksam zu machen.

Der grundsätzliche Trick besteht darin, dass der vom Angreifer kontrollierte DNS-Server für eine Web-Seite wie www.p0wn.you zwei Adressen zurückliefert. Das ist durchaus üblich und wird unter anderem für Lastverteilung auf mehrere Server genutzt. In diesem Fall liefert das DNS jedoch zusätzlich zur echten IP-Adresse noch die IP-Adresse des aktuellen Besuchers von p0wn.you zurück – also die der externen (DSL-)Schnittstelle dessen Routers.

Der Browser verwendet zunächst die erste, also die richtige Server-Adresse, um die Web-Seite zu holen. Dort ist JavaScript-Code eingebettet, der zum Beispiel versucht, eine Web-Seite wie

http://www.p0wn.you/firewall-config.html

zu öffnen. Diesmal verweigert der Server des Angreifers jedoch die Annahme der Verbindung, was dazu führt, dass sich der Browser erinnert: "Da war doch noch eine zweite Adresse – probier ich eben die". An dieser Stelle kommt dem Angreifer eine laxe Grundeinstellung zugute, die viele Router von dem darunterliegenden Linux-System geerbt haben: Sie akzeptieren auf der internen Schnittstelle Anfragen, die eigentlich an die äußere gerichtet sind. Das heißt, das Skript kann auf diesem Weg nicht nur die Web-Seite zu den Firewall-Einstellungen des Routers abrufen, sondern der Browser denkt auch noch, dass diese Seite zur Domain p0wn.you gehört. Das wiederum bedeutet, dass das Skript vollen Zugriff auf diese Seite hat und ohne Zutun des Anwenders etwa die Firewall abschalten könnte, indem es das Häkchen in der Auswahlbox zu "Deaktiviere Firewall" setzt und den "Speichern"-Button anklickt.

Voraussetzung für diesen Angriff ist allerdings, dass der Angreifer die Zugangssicherung des Routers austricksen kann. Das kann entweder über ein erratbares Default-Passwort geschehen, oder weil die Web-Oberfläche des Routers ohnehin bereits in einem zweiten Browser-Fenster geöffnet ist. An dieser Stelle setzen auch die aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an, die grundsätzlich auch dann sinnvoll sind, wenn der eigene Router für diesen speziellen DNS-Rebinding-Angriff nicht anfällig ist.

Man sollte zum einen unbedingt für die Web-Oberfläche des Routers ein eigenes, nicht zu erratendes Passwort setzen. Und zum zweiten sollte man für Arbeiten an der Web-Oberfläche des Routers grundsätzlich eine neue Browser-Sitzung starten, also zunächst alle Browser-Fenster schließen, ein einzelnes, neues Browser-Fenster öffnen und dieses nach Beenden der Arbeit am Router direkt wieder schließen. Das mag manchem als unnötig kompliziert erscheinen. Doch nur so ist sichergestellt, dass externe Skripte sich nicht einmischen können. Außerdem sollte man auch regelmäßig prüfen, ob es Updates für den Router gibt und diese auch einspielen. Darüber hinaus empfiehlt das BSI noch, das Funknetz via WPA2 mit einem eigenen Passwort zu sichern. (ju)