Mysteriöse Router-Backdoor: Viele tausend Router in Deutschland haben eine Hintertür - jetzt testen!

Bei einem Scan fand heise Security über 350 Router allein in Deutschland, deren Passwörter sich übers Internet auslesen lassen. Die Zahl der Router, die die mysteriöse Backdoor auf Port 32764 aufweisen, liegt jedoch noch um ein Vielfaches höher.

In Pocket speichern vorlesen Druckansicht 213 Kommentare lesen
Lesezeit: 3 Min.
Inhaltsverzeichnis

Bei einem Scan über deutsche IP-Adressen fand heise Security über 350 Router, deren komplette Konfigurationsdaten sich direkt auslesen lassen. Darin enthalten: Passwörter für den Admin-Zugang des Routers, das WLAN, den DSL-Zugang, Proxy-Server und DynDNS-Dienste. Sogar Passwörter und Zertifikate für VPNs fanden sich auf einigen Geräten. Dabei sind die anfälligen Router in Deutschland vergleichsweise selten; in anderen Ländern gibt es deutlich mehr betroffene Systeme.

Ursache dieses massiven Sicherheitsproblems ist eine immer noch mysteriöse Backdoor in Routern verschiedener Hersteller – unter anderem von Cisco, Linksys, Sercomm und Netgear. Bei diesen Routern läuft ein undokumentierter Dienst auf dem TCP-Port 32764, über den sich die Konfiguration des Geräts nicht nur auslesen, sondern sogar ändern lässt – und das ganz ohne Passwort.

In manchen Fällen ist dieser Port sogar auf der Internet-Seite erreichbar. Sehr viel häufiger kann man sie nur aus dem lokalen Netz oder dem WLAN erreichen. Das ist zwar nicht ganz so kritisch, kann sich aber ebenfalls als problematisch erweisen, etwa bei Firmen, in öffentlichen Netzen oder wenn ein Trojaner diese Lücke nutzt, um etwa einen anderen DNS-Server im Router einzutragen und damit den Internet-Verkehr der angeschlossenen Geräte umleiten kann.

Wenn der Netzwerkcheck das meldet, sollten Sie Ihren Router schnellst möglich vom Netz nehmen.

Ob der eigene Router aus dem Internet ausspionierbar und manipulierbar ist, kann man ganz einfach über den Router-Test des heisec-Netzwerkchecks herausfinden. Meldet der in einer grünen Zeile, dass Port 32764 geschlossen oder gefiltert ist, haben Sie kein Problem. Nur wenn eine rote Zeile einen offenen Port findet, besteht möglicherweise Gefahr.

Ob Sie tatsächlich betroffen sind, ermittelt der ebenfalls im Netzwerkcheck angebotene, spezielle "Backdoor-Test", der analysiert, ob auf Ihrem System tatsächlich die problematische Backdoor antwortet. Da dieser Test aufwendiger ist und Ressourcen im Heise-Cluster blockiert, führen Sie ihn derzeit bitte nur aus, wenn der allgemeine Router-Test bereits einen offenen Port gemeldet hat. Ob die Backdoor zwar vorhanden, aber nur im lokalen (W)LAN erreichbar ist, kann man derzeit nur mit Telnet oder speziellen Tools herausfinden.

heise Security hat seine Scan-Ergebnisse an das CERT-Bund weiter gereicht, die diese dann an die Provider weitergaben, mit der Bitte doch die betroffenen Kunden zu informieren. Bislang haben wir keine Bestätigung erhalten, dass dies auch tatsächlich erfolgt ist. [Update 17:25: Mittlerweile haben mehrere Leser berichtet, dass sie tatsächlich informiert wurden.]

Das Problem ist, dass Betroffene derzeit sehr wenig tun können. Da die Hersteller bisher nicht einmal erklären konnten, wie es zu dieser Hintertür kam, geschweige denn Updates bereitstellen, die sie entfernen, gibt es wenig Möglichkeiten, sich gegen einen Missbrauch zu schützen. Wer einen Router mit einer aus dem Internet erreichbaren Backdoor im Einsatz hat, sollte diesen schleunigst außer Betrieb nehmen. Angeblich hilft es bei manchen Modellen, eine Port-Weiterleitung für den TCP-Port 32764 ins Nirvana (also einen nicht erreichbaren Port im lokalen Netz) einzurichten. Das ist aber ein sehr kruder Workaround und sollte gut getestet werden.

Siehe dazu auch:

(ju)