4,5 Millionen Router gehackt

Mit nur zwei Skripten haben sich Cyber-Kriminelle Zugang zu Privatkunden-Routern verschafft und diese sowie deren PCs nach Belieben zu präparierten Zielen im Internet umgeleitet. Die Sicherheitslücke ist schon seit März 2011 bekannt.

In Pocket speichern vorlesen Druckansicht 216 Kommentare lesen
Lesezeit: 2 Min.

Wie Fabio Assolini von Kaspersky Lab während eines Vortrags bei der Virus Bulletin Conference in Dallas darlegte, war es Kriminellen in Brasilien über Monate hinweg gelungen, 4,5 Millionen DSL-Router unbemerkt zu kompromittieren. Dafür haben sie mittels zweier Bash-Scripte per Cross Site Request Forgery (CSRF) zunächst das Administrator-Passwort geändert und im zweiten Schritt den DNS-Server-Eintrag im Router manipuliert. Selbst ein schon eingerichteter Passwortschutz ließ sich per CSRF umgehen. Die PCs der Nutzer wurden nach dem Angriff zu vorprogrammierten Phishing-Domains gelotst, die vor allem das Abgreifen von Bankdaten zum Ziel hatten. Für diese Umleitung hatten die Angreifer 40 DNS-Server eingerichtet. Der Angriff beschränkte sich auf weite Teile des IP-Adressraums in Brasilien.

Die Sicherheitslücke ist bereits seit März 2011 bekannt. Sie betrifft Router diverser Hersteller mit mindestens einem nicht näher bezeichneten Broadcom-Chipsatz, zum Beispiel dem Comtrend ADSL Router CT-5367. Firmware-Updates zum Schließen der Lücke wurden bereits von einigen der Hersteller bereitgestellt, woraufhin die Zahl der gekaperten Router immerhin auf 300.000 abnahm. Jedoch pflegen manche Hersteller ältere Router nicht mehr oder reagieren träge auf Sicherheitslücken, sodass bis zum März 2012 immer noch zehn Prozent der ursprünglich betroffenen Router in fremder Hand waren.

Wie Assolini bemerkt, können Nutzer unter diesen Voraussetzungen die Router-Sicherheit kaum erhöhen, aber eventuell Sicherheitseinstellungen hochschrauben und Firmware-Updates durchführen – wenn schon der Provider kein besseres Router-Modell bietet. (kbe)