OpenSSL-Bug Heartbleed: Die meisten Router sind laut Herstellerangaben nicht verwundbar

Die meisten Router-Hersteller geben an, ältere OpenSSL-Versionen zu nutzen. Etliche liefern aber keine Belege dafür, dass ihre Geräte nicht verwundbar sind. Sicherheitsbewusste Nutzer müssen also die Ärmel hochkrempeln und die Geräte selbst testen.

In Pocket speichern vorlesen Druckansicht 80 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Dusan Zivadinovic

Die Verschlüsselungsbibliothek OpenSSL spielt bei Routern eine wichtige Rolle, weil sie bei vielen Modellen für den verschlüsselten Zugriff auf die Konfiguration des Geräts eingesetzt wird, sei es aus dem LAN oder aus dem Internet (Remote Management). Manche Router setzen SSL aber auch für die verschlüsselte Kommunikation mit Cloud-Diensten des Herstellers ein oder für den Aufbau von VPN-Verbindungen, beispielsweise für OpenVPN.

Setzt ein Router eine verwundbare OpenSSL-Version ein (OpenSSL 1.0.1 bis 1.0.1f), können Angreifer über den Heartbleed-Bug an den geheimen Server-Schlüssel, Passwörter oder andere, eigentlich verschlüsselt übertragene Daten kommen. Ist dann auch noch Fernwartung aktiv, sind einem Angreifer mit dem Konfigurationspasswort des Routers weitreichende Eingriffe möglich, beispielsweise Änderungen des DNS-Servers zur Umleitung von PCs auf präparierte Server oder Manipulationen der VoIP-Telefonie zu Gunsten des Angreifers.

Die meisten auf dem deutschen Markt aktiven Router-Hersteller gaben in einer aktuellen Befragung der heise-Netze-Redaktion an, dass ihre Router nicht verwundbar sind. Vorsicht geboten ist aber zumindest bei einigen Geräten von Buffalo. In den Geräten, in denen Buffalo sein eigenes Router-Betriebssystem einsetzt, kommen zwar ältere und nicht verwundbare OpenSSL-Versionen zum Einsatz, aber einige Router-Modelle sind auch mit dem Betriebssystem DD-WRT erhältlich. Diese verwenden Buffalo zufolge verwundbare OpenSSL-Versionen. Updates erwartet das Unternehmen von den DD-WRT-Entwicklern. DD-WRT hat OpenSSL im eigenen Repository bereits auf eine gefixte Version aktualisiert, aber wie die Entwickler melden, kann es noch einige Tage dauern, bis die Aktualisierung für jedes einzelne Router-Modell umgesetzt ist.

Netgear gibt auf Anfrage von heise Netze an, dass seine Router ebenfalls nicht betroffen seien. Verwundbar sind jedoch viele NAS-Geräte aus eigenem Hause. Das Unternehmen hat dazu keine Einzelheiten mitgeteilt, sondern lediglich die betroffenen ReadyNAS-Serien aufgeführt. Für diese Serien gibt es die neue Firmware-Version 6.1.7, die das Sicherheitsloch schließt. Ältere ReadyNAS-Serien sind laut Netgear nicht vom HeartBleed-Bug betroffen und daher nicht erwähnt.

Nur vier von vierzehn befragten Router-Herstellern haben Wege geschaffen, über die sich Nutzer selbst informieren können, welche OpenSSL-Version ihr Gerät einsetzt. Bei Asus und DrayTek kann man das per Kommando etwa in einer Telnet- oder SSH-Sitzung auslesen, während AVM und Belkin die Information in den Begleit-Notizen zu der von ihnen eingesetzten OpenSource-Software aufführen.

Einige Router-Hersteller geben sich zum Thema OpenSSL komplett zugeknöpft und versichern lediglich, dass ihre Geräte nicht verwundbar seien, während Apple bisher gar nicht geantwortet hat. [Update 17.4.2014, 14:48]: Edimax hat sich immerhin nach erscheinen dieses Beitrags gemeldet. /[Update] Letztlich spielen beide Gruppen, sowohl die Schweiger als auch die Informations-Knauserer, die Frage zum Nutzer zurück. Um letzte Gewissheit zu erhalten, müssen sicherheitsbewusste Nutzer im Grunde die Ärmel selbst hochkrempeln.

[Update 23.4.2014, 16:20]: Apple hat stillschweigend eingeräumt, dass AirPort-Router, die mittels der IEEE-Technik 802.11ac funken, vom Heartbleed-Bug betroffen sind. Für die aktuelle Generation der AirPort Extreme und der Time Capsule hat die Firma Updates auf die Version 7.7.3 veröffentlicht, die diese Sicherheitslücke schließen. /[Update]

Ob ein Router anfällig ist, lässt sich immerhin mit vertretbarem Aufwand zum Beispiel mittels Test-Modulen oder Prüf-Diensten feststellen. Eine Zusammenfassung finden Sie bei den Kollegen von heise Security. Falls Sie ein Gerät testen wollen, das keinen Zugang zum Internet hat, können Sie alternativ das Python-Tool hb-test.py einsetzen. Es eignet sich auch, um die SSL-Varianten der Protokolle SMTP, POP3, IMAP, FTP und XMPP zu testen.

Falls sich Ihr Router als anfällig erweist: Schalten Sie als erstes die Fernkonfiguration respektive die Internet-Dienste aus (Remote Management), die SSL einsetzen und informieren Sie den Hersteller, sofern er nicht schon ein Firmware-Update anbietet. Falls nicht, weichen Sie für die Fernkonfiguration wenn möglich auf IPSec-vermittelte VPN-Verbindungen aus.

Hersteller Wird OpenSSL eingesetzt? HeartBleed-Anfällig laut Hersteller OpenSSL-Version in Verwendung SSL-Version auslesen Bemerkungen
Apple
keine Antwort keine Antwort keine Antwort keine Antwort Apple hat am 22.4.2014 Updates für seine 802.11ac-fähigen Router AirPort Extreme und Time Capsule veröffentlicht, die die Heartbleed-Sicherheitslücke schließen
Asus für Remote-Login und SmartSync nein 1.0.0b und 1.0.0d (beide von HeartBleed nicht betroffen) Telnet aktivieren (Menü „Administration, System, Telnet“), im Terminal Telnet-Sitzung zum Router öffnen und mit dem Befehl openssl version -a abfragen Asus plant Updates auf OpenSSL 1.0.1g
AVM für Remote-Login nein nur 0.98 (nicht von HeartBleed betroffen) Infos zu eingesetzten OpenSource-Paketen laden und lesen, ftp.avm.de /fritz.box/ öffnen, Fritzbox-Modell wählen und den Ordner x_misc/opensrc öffnen
Belkin für Remote-Login nein keine Angaben siehe mitgelieferte Open Source License Notice Zu Belkin gehört inzwischen auch die Router-Marke Linksys
Bintec keine Angaben nein keine Angaben keine Angaben Bintec meldet: "Da die Geräte auf Basis unseres proprietären Betriebssystems BOSS betrieben werden und wir Außenstehenden hierzu keinen Einblick geben, können wir zu Ihren weiteren Fragen keine Stellung nehmen."
Buffalo für Login nein keine Angaben keine Angaben Buffalo meldet: "Einige Router, die mit DD-WRT arbeiten, sind betroffen. Wir erwarten hierzu Updates von DD-WRT in Kürze."
D-Link

für Login und Remote Login nein keine Angaben nicht vorgesehen
DrayTek für Login und Remote Login nein diverse Vigor2130, 2750: "openssl version" in Kommando -Zeile eingeben, VigorFly, VigorAP series, Vigor2760, 2960, 3900: siehe GPL Sourcecode Release Package auf ftp.draytek.com, Vigor 2925, 2860, 2710 und andere mit DrayOS: nicht verwundbar, weil modifizierte Version von OpenSSL 0.9.7b im Einsatz
Edimax nein nein keine nicht erforderlich Edimax meldet: "Da unsere Router kein OpenSSL einsetzen, sind wir generell von dieser Sicherheitslücke nicht betroffen."
Lancom

für Login und Remote Login nein keine Angaben nicht vorgesehen Lancom setzt nach eigenen Angaben OpenSSL zwar ein, nicht aber vom HeartBleed-Bug betroffene Funktionen.
Netgear

für Remote-Login Router: nein NAS-Geräte: ja keine Angaben keine Angaben Netgear empfiehlt dringend die Firmware-Version 6.1.7 (über Netgears-Support-Site erhältlich) für diese ReadyNAS-Serien: RN102, RN103, RN312314, RN516, RN716, RN3220 und RN4220. Ältere ReadyNAS-Produkte nutzen ältere OpenSSL-Versionen, die nicht betroffen sind.
Sitecom nein
TP-Link

für Remote-Login nein 0.9.8a, 0.9.7, 0.9.7f, 0.9 (nicht von HeartBleed betroffen) nicht vorgesehen
ZyXEL

für Remote-Login nein 0.9.7f, 0.9.8i, 1.0.0a keine Angaben

(dz)