Router-Schwachstelle für Telefonterror missbraucht

Nach Informationen von heise Security werden die Schwachstellen in Vodafones EasyBox-Routern bereits ausgenutzt, um gezielt finanziellen Schaden anzurichten. Im Raum Krefeld hat ein unbekannter Täter verwundbare WLAN-Router anscheinend gleich reihenweise geknackt, um über die Telefonanschlüsse der Router-Besitzer wiederholt die Kundenhotline eines Krefelder IT-Dienstleisters anzurufen. Dadurch war die Hotline stundenlang nicht erreichbar.

Gegenüber heise Security erklärte der Geschäftsführer der betroffenen IT-Firma, in einigen Fällen sei die Rufnummer des Anrufers mitgesendet worden. Daraufhin habe er sich mit den Anrufern in Verbindung gesetzt. Die Anschlussinhaber gaben an, von den Anrufen nichts gewusst zu haben. Bei den Gesprächen ergaben sich zwischen den Inhabern der Rufnummern zwei Gemeinsamkeiten: Alle waren Vodafone-Kunden und setzten einen Vodafone-Standardrouter des Typs EasyBox ein. Einer der Vodafone-Kunden erklärte, an seinem Anschluss sei durch weitere Anrufe bereits größerer finanzieller Schaden entstanden, unter anderem durch Ferngespräche ins Ausland.

Als der Chef der IT-Firma mit seinen bisherigen Anhaltspunkten schließlich eine Suchmaschine fütterte, stieß er auf zahlreiche Anleitungen, wie man das voreingestellte WPA-Passwort einiger EasyBox-Modelle allein durch Kenntnis der MAC-Adresse knackt. Diese MAC-Adresse kann jeder im Klartext mitlesen, der sich in Funkreichweite des Routers befindet. Es gibt sogar eine Android-App, die das WPA-Passwort umliegender EasyBoxen automatisch ableitet.

Das Problem ist keinesfalls neu: Schon vor zwei Jahren berichteten wir, dass man das WPA-Passwort bei zahlreichen EasyBoxen leicht berechnen kann. Arcadyan, der OEM-Hersteller der EasyBox-Router, ließ sich das Verfahren zum Berechnen des WPA-Key aus der MAC-Adresse sogar patentieren.

Der betroffene Unternehmer wandte sich mit seinem Verdacht an heise Security und erstattete unabhängig davon Anzeige gegen unbekannt. Gegenüber heise Security bestätigte Vodafone, dass tatsächlich verwundbare Router für die Massenanrufe missbraucht wurden. Wie der Täter nach dem Knacken des Routers eigene Anrufe abgesetzt hat, wollte der Netzbetreiber nicht kommentieren. Möglicherweise hat der Täter die Zugangsdaten aus der EasyBox ausgelesen und sie für die Anrufe mit einem eigenen Gerät missbraucht. Oft werden in ähnlichen Fällen auch Rufumleitungen verwendet: Dabei richtet der Täter im Router eine Rufumleitung zur Zielnummer ein und ruft anschließend eine Rufnummer der EasyBox an.

Zwischenzeitlich wurde bekannt, dass man nicht nur das im Auslieferungszustand eingestellte WPA-Passwort von der MAC-Adresse des Routers ableiten kann, sondern auch die WPS-PIN. Hierzu hat das Bürger-CERT des BSI vor Kurzem eine technische Warnung veröffentlicht. Laut Vodafone wurden die EasyBox-Modelle 600 bis 602 und 800 bis 803 bis August 2011 potenziell mit schwachen WPA-Passwörtern und teilweise auch WPS-PINs auchgeliefert.

Vodafone erklärte gegenüber heise Security, derzeit an abgesicherten Firmware-Versionen zu arbeiten. Auf einer Hilfeseite erklärt das Unternehmen, wie sich Besitzer verwundbarer Router-Modelle schon jetzt schützen können. Vor allem solle man sofort das werkseitige WPA-Passwort ändern. Auch die WPS-PIN muss geändert werden, da sie sich bei WPS-Modellen ebenfalls errechnen lässt. Zusätzlich solle man WPS abschalten. Vodafone hat die Besitzer der angreifbaren Modellreihen per Mail, Brief oder SMS über das Sicherheitsproblem informiert.

Update vom 21.08., 11 Uhr: Vodafone hat angekündigt, die verwundbaren Geräte ab Anfang nächster Woche mit abgesicherten Firmware-Versionen zu versorgen. Nachdem heise Security das BSI über den aktuellen Stand der Dinge informiert hat, hat es die in der technischen Warnung des Bürger-CERT aufgeführten betroffenen Geräte um die 600er Serie der EasyBox ergänzt. (rei)