Mysteriöse Backdoor in diversen Router-Modellen
Auf Routern von Linksys und Netgear lauscht ein undokumentierter Dienst, der auf Befehle wartet. Bislang gibt es lediglich ein Indiz dafür, was es damit auf sich haben könnte.
- Ronald Eikenberg
Auf einige Routern von Linksys und Netgear läuft offenbar ein undokumentierter Dienst, über den man unter anderem die Konfiguration einschließlich der Klartext-Passwörter auslesen und auch manipulieren kann. Es besteht die Möglichkeit, dass auch Geräte anderer Hersteller betroffen sind.
Der Reverse Engineer Eloi Vanderbeken hat entdeckt, dass sein heimischer Linksys-Router WAG200G über den Port 32764 erreichbar ist. Anschließend nahm er die Router-Firmware mit dem Analyse-Tool binwalker auseinander und konnte schließlich ergründen, was es mit dem lauschenden Dienst auf sich hat. Es handelt sich um eine Konfigurationsschnittstelle, durch die man eine Reihe von Befehlen auf dem Router ausführen kann. Einer der Befehle etwa setzt das Gerät auf Werkeinstellungen zurück, ein anderer spuckt die Router-Konfiguration aus – mitsamt aller Passwörter im Klartext.
Nachdem Vanderbeken seine Informationen ins Netz stellte, meldeten sich Besitzer anderer Modelle, die das Phänomen nachvollziehen konnten. Die Rückmeldungen trägt er bei Github zusammen, wo er auch ein Proof of Concept veröffentlicht hat. Ein erstes Indiz dafür, was es mit dem Dienst auf sich haben könnte, liefert die Zeichenfolge "ScMM", die von den betroffenen Routern nach dem Verbindungsaufbau über Port 32764 gesendet wird. Es könnte sich dabei um eine Abwandlung des Firmennamens SerComm handeln. SerComm hat offenbar zumindest einige der betroffenen Geräte als OEM hergestellt. Das Unternehmen soll auch Netzwerkausrüster wie Belkin und LevelOne beliefern. Ob auch deren Router betroffen sind, ist derzeit nicht bekannt.
Zumindest in einigen Fällen scheint der fragliche Dienst nicht nur über das lokale Netz, sondern auch über das Internet erreichbar zu sein. Eine Recherche mit der Spezialsuchmaschine Shodan förderte fast 3000 IP-Adressen zu Tage, die auf Port 32764 antworten; davon rund 60 aus Deutschland. heise Security hat Linksys und Netgear am Donnerstagvormittag um eine Stellungnahme gebeten. In beiden Fällen steht eine Antwort bislang noch aus. (rei)