Alarmierender Fraunhofer-Test: Viele Home-Router unsicher
Sicherheitsforscher des FKIE haben 127 verschiedene Home-Router untersucht und vermuten gravierende Sicherheitsmängel. Überraschen kann das niemanden mehr.
- Fabian A. Scherschel
Die Sicherheit von Home-Routern hat in den vergangenen Jahren wenig Fortschritte gemacht. Nach wie vor lassen Hersteller nötige Sicherheitsupdates für ihre Geräte schleifen, was dazu führt, dass viele Router Schwachstellen haben, die seit langem bekannt sind. Auch leidige Probleme mit voreingestellten Hersteller-Passwörtern, die unsicher sind und sich oft nicht ändern lassen, betreffen nach wie vor viele Geräte. In einem automatisierten Test von 127 Firmware-Images verschiedener Router von von sieben Herstellern fanden Sicherheitsforscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in jedem der getesteten Images das eine oder andere Problem.
127 Router von sieben Herstellern, Huawei auĂźen vor
Getestet wurden Geräte der Hersteller Asus, AVM, D-Link, Linksys, Netgear, TP-Link und Zyxel. Alle getesteten Geräte wurden laut der Forscher zum Zeitpunkt der Tests aktiv von den Herstellern beworben, können also also als neu genug betrachtet werden, um aktiv mit Updates unterstützt zu werden. Die AVM-Router schnitten bei dem Text mit Abstand am besten ab, ASUS und Netgear konnten ebenfalls ein paar lobende Worte der Tester verbuchen. Am kritischsten sehen die Fraunhofer-Forscher Geräte von D-Link, Linksys, TP-Link und Zyxel. Geräte von Huawei wurden nicht getestet, da der Hersteller seine Firmware nicht öffentlich bereitstellt – ob man überhaupt ein Gerät mit einer derart intransparenten Update-Politik bei sich zu Hause stehen haben möchte, sei dahingestellt.
Nicht alle Ergebnisse der Forscher lassen sich direkt auf die im Markt auch wirklich im Einsatz befindlichen Geräte übertragen. Das liegt daran, dass viele Geräte, die bei Kunden von Internet-Providern zu Hause stehen, vom Provider mit eigenem Branding versehen sind und zum Teil eigene Firmware-Versionen im Einsatz haben. Diese stimmen meist nicht genau mit der Firmware überein, die der entsprechende Hersteller für das Grundgerät auf seiner Webseite bereitstellt.
Die fĂĽnf untersuchten Schwachstellen-Kriterien
Um Sicherheitslücken in den 127 getesteten Routermodellen zu finden, mussten die Mitarbeiter des FKIE die Geräte nicht mal mühsam einzeln von Hand untersuchen. Sie verwendeten das vom FKIE entwickelte Open-Source-Werkzeug Firmware Analysis and Comparison Tool (FACT) und eine Liste mit 127 hierzulande viel verkauften Router-Modellen mit der entsprechenden vom Hersteller als aktuell angegebenen Firmware-Version. Mittels FACT luden sie die Firmware-Images herunter, extrahierten das Router-Betriebssystem – welches bei den meisten getesteten Geräten auf Linux aufsetzt – und prüften die Software auf fünf verschiedene Sicherheitsaspekte. Diese fünf Test-Kriterien waren: Zeit seit dem letzten Firmware-Release für das Gerät, Version des unterliegenden Betriebssystem-Kernels, Vorhandensein von Exploitschutz-Maßnahmen, Vorhandensein von privaten Kryptoschlüsseln im System und voreingestellte Passwörter.
Anhand der ersten zwei von den Forschern untersuchten Kriterien lässt sich feststellen, ob die Router-Firmware Schwachstellen enthält, die auf das zugrundeliegende Betriebssystem zurückzuführen sind. Das bedeutet nicht zwingend, dass sich mit diesen Schwachstellen auch wirklich der Router angreifen lässt, deutet aber stark auf Sicherheitsprobleme hin. Je älter der eingesetzte Kernel, desto wahrscheinlicher ist es, dass eine schwerwiegende Schwachstelle ungepatcht blieb. Das fehlen von bekannten Exploitschutz-Maßnahmen macht es dann noch mal wahrscheinlicher, dass Lücken irgendwo im Betriebssystem auch wirklich von außen angreifbar sind und gegebenenfalls sogar dazu missbraucht werden können, das Gerät zu kapern. Sind hingegen private Kryptoschlüssel vorhanden, ist es denkbar, dass Angreifer diese ebenfalls aus dem Firmware-Download auslesen und somit die Verschlüsselung knacken können, die das Router-Betriebssystem verwendet um – vermutliche geheime – Daten zu schützen. Auch hier sind Angriffe denkbar.
Der fünfte und letzte Punkt, werksseitig voreingestellte Passwörter, sind besonders kritisch. Obwohl eigentlich alle Hardware-Hersteller wissen müssten, wie fatal so etwas ist (besonders bei Routern), kommt diese Art von Sicherheitslücke doch immer wieder vor. Sollte der Besitzer des betreffenden Routers solche voreingestellten Passwörter nicht ändern, kann jeder, der sich die Mühe macht diese Passwörter nachzuschlagen oder per automatisierter Firmware-Analyse herauszufinden, die betroffenen Geräte meist ohne weiteres komplett übernehmen. Diese Schwachstelle ist besonders kritisch, wenn die Passwörter fest eingestellt sind und sich nicht ändern lassen. Selbst wenn diese Passwörter, und damit die Hintertür im Router, nirgendwo dokumentiert ist, so werden diese Lücken doch regelmäßig entdeckt – wie die Fraunhofer-Forscher wieder einmal eindrucksvoll beweisen – und können dann missbraucht werden.
Veralteter Code, schlechter Schutz, private KryptoschlĂĽssel verbaut
Die Ergebnisse des FKIE-Berichts sind verheerend. Ganze 22 der getesteten 127 Geräte wurden innerhalb der vergangenen zwei Jahre gar nicht mit Firmware-Updates versorgt. Mehr als ein Drittel der Geräte basiert auf Linux-Kernelversionen, die seit mindestens 9 Jahren keine Sicherheitsupdates mehr bekommen. Die Firmware eines Linksys-Gerätes basierte gar auf einem knapp 18 Jahre alten Linux-Kernel. AVM sticht als einziger Hersteller hervor, der durchweg neuere Linux-Versionen einsetzt. Natürlich schließen diese Ergebnisse nicht aus, dass die Hersteller eigene Kernel-Patches für ihre Geräte bereitstellen. Trotzdem ist die Anzahl bekannter Sicherheitslücken im Linux-Unterbau der meisten getesteten Router mit aller Wahrscheinlichkeit beträchtlich. Das Bild verfestigt sich bei den für den Firmware-Code im Einsatz befindlichen Exploitschutz-Maßnahmen wie gesetzte NX-Bits, positionsunabhängiger Code oder Code-Hardening mit RELRO: Auch hier hat AVM die Nase vorn, aber laut der FKIE-Forscher könnten alle Hersteller viel mehr tun, um ihre Router sicherer zu machen.
Die Forscher fanden im Durchschnitt knapp fünf private Kryptoschlüssel pro untersuchtem Firmware-Image. AVM war der einzige Hersteller, der keinen einzigen privaten Schlüssel in seiner Firmware veröffentlicht hat. Aus der automatischen Analyse der FACT-Software scheint nicht unbedingt hervorzugehen, wofür diese Schlüssel im Einzelfall auf dem Gerät im Einsatz sind, ein gutes Zeichen für die Sicherheit ist das Vorhandensein private Kryptoschlüssel in frei zum Download stehenden Firmware-Images aber wohl auf keinen Fall.
Mirai lässt grüßen
Dass fest eingestellte Passwörter, die man nicht ändern kann, ein Sicherheitsrisiko darstellen, weiß mittlerweile fast jedes Kind. Dass so etwas auf öffentlich aus dem Netz erreichbaren Home-Routern eine Katastrophe ist, sollte sich seit den massiven Attacken des Mirai-Botnetzes, die 2016 große Teile des Internets und hunderttausende Router der Deutschen Telekom lahmlegten, eigentlich auch herumgesprochen haben. Vor allem bei den großen Router-Herstellern. Trotzdem fand das FKIE in 50 der 127 getesteten Firmware-Images voreingestellte Passwörter. In 16 Routern waren diese trivial einfach zu knacken. Allerdings haben die Forscher keine Erkenntnisse dazu, wie viele dieser Passwörter sich wirklich aus der Ferne für Angriffe ausnutzen lassen und somit valide Hintertüren darstellen. Asus ist der einzige Hersteller, der keine voreingestellten Passwörter verwendet.
Trotz der recht oberflächlichen Analyse der Fraunhofer-Forscher deuten viele der Ergebnisse auf zum Teil gravierende Sicherheitsmängel bei den getesteten Home-Routern hin. Obwohl sich bei genauerem Hinsehen einige Lücken als nicht angreifbar herausstellen könnten, kann man wohl getrost davon ausgehen, dass andere Hinweise auf handfeste Sicherheitsmängel hindeuten. Unserer Erfahrungen mit Router-Sicherheit decken sich mit den Erkenntnissen der FKIE-Mitarbeiter: Updates kommen meist viel zu spät oder gar nicht und viele Hersteller legen viel zu wenig Wert darauf, ihre Geräte sicher zu machen. Bei vielen ist es seit Jahren fast unmöglich, neu entdeckte Sicherheitslücken zu melden oder Details dazu zu bekommen, wann eine bestimmte Schwachstelle in der Firmware eines Geräts geschlossen werden soll. Zwar bestreiten die betroffenen Firmen dies regelmäßig, aber die Erfahrungsberichte unabhängiger Sicherheitsforscher, die Sicherheitslücken in Produkten melden wollen, sprechen Bände. Und dabei werden dank automatisierter Methoden, wie sie etwa die FKIE-Forscher mit ihrem Open-Source-Tool bereitstellen, in Zukunft wohl eher mehr als weniger Sicherheitslücken in Router-Firmware gefunden werden.
(fab)