Backdoor in Routern: Hersteller rätseln und analysieren

Noch immer können die Router-Hersteller keine plausible Erklärung dafür liefern, dass auf auf ihren Geräten ein undokumentierter Konfigurationsdienst läuft. Sie sind nach eigenen Angaben selbst noch mit der Analyse beschäftigt.

In Pocket speichern vorlesen Druckansicht 196 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Der Linksys WAG120N ist einer der Router, bei denen der undokumentierte Dienst sogar über das Internet erreichbar sein soll. Das Gerät wird auch in Deutschland verkauft.

(Bild: Linksys)

Über eine Woche, nachdem die in zahlreichen Routern enthaltene Backdoor aufgedeckt wurde, melden sich nun auch die Hersteller zu Wort. So erklärte ein Sprecher des zu Belkin gehörenden Netzwerkausrüsters Linksys, dass man sich des Problems bewusst sei und derzeit an einer Lösung arbeite. Linksys ist gleich mehrfach auf der Liste der betroffenen Geräte vertreten. Bei einem der Router, dem WAG120N, soll die undokumentierte Hintertür sogar über das Internet erreichbar sein.

Auch der Netgear DG834B lauscht Anwenderberichten zufolge auf Port 32764.

Auch von Netgear liegt uns inzwischen eine erste Stellungnahme vor: "Im Augenblick überprüfen wir alle potentiellen Sicherheitslücken der verschiedenen WLAN-Router / DSL-Modemrouter". Sobald die detaillierte Analyse abgeschlossen ist, will das Unternehmen weitere Informationen bereitstellen. Netgear ist ebenfalls mehrfach auf der Liste der betroffenen Geräte vertreten. Anscheinend ist der Dienst bei den Modelle DG834B und DGN2000 über das Internet erreichbar.

Bislang hat sich noch keiner Hersteller direkt an seine Kunden gewandt. Das ist unverständlich, geht von dem undokumentierten – und nicht abschaltbaren – Dienst, der auf Port 32764 lauscht, doch eine reale Gefahr aus. Angreifer können darüber unter anderem die Router-Konfiguration auslesen (einschließlich diverser Passwörter im Klartext) und sogar manipulieren. Ein Angreifer könnte etwa einen DNS-Server einstellen, der dafür manipulierte Antworten zurückliefert und so dafür sorgt, dass der Internet-Traffic des Router-Besitzers umgeleitet wird.

Die Spezialsuchmaschine Shodan listet inzwischen über 8000 IP-Adressen, die auf Port 32764 antworten – darunter 182 aus Deutschland. Wie Sie überprüfen, ob der Backdoor-Dienst auf Ihrem Router läuft, zeigt der Artikel Router auf Backdoor testen.

Update vom 7. Januar 2013, 16:20: Inzwischen hat auch Cisco auf unsere Anfrage reagiert. Das Unternehmen hat demnach sein Product Security Incident Response Team eingeschaltet, um den Sachverhalt zu analysieren. "Wenn es eine Sicherheitslücke gibt oder eine Hinweis, den wir unseren Kunden geben müssen, werden wir dies gemäß unserer Security Vulnerability Policy bekanntgeben. [...] Unsere Unternehmenspolitik untersagt es, Backdoors in unsere Produkte zu installieren", so Cisco. Der Netzwerkausrüster ist bisher mit fünf Produkten auf der Liste der betroffenen Geräte vertreten, der WAP4410N-E soll auf Anfragen aus dem Internet reagieren. Cisco hat im Jahr 2003 das Unternehmen Linksys gekauft und Anfang 2013 an Belkin weiterveräußert. (rei)