Mysteriöse Backdoor in diversen Router-Modellen

[Christoph]

Zitat:

Auf einige Routern von Linksys und Netgear läuft offenbar ein undokumentierter Dienst, über den man unter anderem die Konfiguration einschließlich der Klartext-Passwörter auslesen und auch manipulieren kann. Es besteht die Möglichkeit, dass auch Geräte anderer Hersteller betroffen sind.

Der Reverse Engineer Eloi Vanderbeken hat entdeckt, dass sein heimischer Linksys-Router WAG200G über den Port 32764 erreichbar ist. Anschließend nahm er die Router-Firmware mit dem Analyse-Tool binwalker auseinander und konnte schließlich ergründen, was es mit dem lauschenden Dienst auf sich hat. Es handelt sich um eine Konfigurationsschnittstelle, durch die man eine Reihe von Befehlen auf dem Router ausführen kann. Einer der Befehle etwa setzt das Gerät auf Werkeinstellungen zurück, ein anderer spuckt die Router-Konfiguration aus – mitsamt aller Passwörter im Klartext.

Nachdem Vanderbeken seine Informationen ins Netz stellte, meldeten sich Besitzer anderer Modelle, die das Phänomen nachvollziehen konnten. Die Rückmeldungen trägt er bei Github zusammen, wo er auch ein Proof of Concept veröffentlicht hat. Ein erstes Indiz dafür, was es mit dem Dienst auf sich haben könnte, liefert die Zeichenfolge "ScMM", die von den betroffenen Routern nach dem Verbindungsaufbau über Port 32764 gesendet wird. Es könnte sich dabei um eine Abwandlung des Firmennamens SerComm zu handeln. SerComm hat offenbar zumindest einige der betroffenen Geräte als OEM hergestellt. Das Unternehmen soll auch Netzwerkausrüster wie Belkin und LevelOne beliefern. Ob auch deren Router betroffen sind, ist derzeit nicht bekannt.

Zumindest in einigen Fällen scheint der fragliche Dienst nicht nur über das lokale Netz, sondern auch über das Internet erreichbar zu sein. Eine Recherche mit der Spezialsuchmaschine Shodan förderte fast 3000 IP-Adressen zu Tage, die auf Port 32764 antworten; davon rund 60 aus Deutschland. heise Security hat Linksys und Netgear am Donnerstagvormittag um eine Stellungnahme gebeten. In beiden Fällen steht eine Antwort bislang noch aus. (rei)

Quelle: http://www.heise.de/newsticker/meldu...n-2074394.html

http://futurezone.at/netzpolitik/hac...ern/43.727.991

[zonediver]

...und wieder mal die "Spielzeug-Router" - da lobe ich mir meinen IPFire

[ZombyKillah]

... und wieder mal reiht sich Cisco bei den Spielzeugen ein ...


Wer Lust hat hier findet man die Original Beschreibung wie der Fehler gefunden wurde:
https://github.com/elvanderb/TCP-32764/

Erschreckend ist auch, dass das Konfig-Interface im Internet scheinbar schon lange bekannt war.

[Don Manuel]

Zitat:

Backdoor is not working in:

• Netgear WGR614v7 (thanks "Martin from germany" [your e-mail doesn't work])
• Netgear WNDR3700 (https://twitter.com/juliengrenier/st...48575842304000)
• Netgear CG3100 (https://github.com/elvanderb/TCP-32764/issues/6)
• Netgear WGR614v9 (https://github.com/elvanderb/TCP-32764/issues/7)
• Linksys WRT54GS v1.52.8 build 001 (thanks Helmut Tessarek)
• Linksys WRT54GL(v1.1) Firmware v4.30.16
• Netgear WGR614v3 (https://github.com/elvanderb/TCP-32764/issues/8)
• Netgear WNDR4500 (https://twitter.com/TechnicalRah/sta...26996873834496)
• Netgear WNDR4000 (https://github.com/elvanderb/TCP-32764/issues/10)
• Netgear R7000 (https://twitter.com/LRFLEW/status/418856141032935424)
• Netgear R6300 (https://github.com/elvanderb/TCP-32764/issues/15)
• Netgear WN2500RP (https://github.com/elvanderb/TCP-32764/issues/15)
• Linksys E3000 fwv 1.0.04 (https://github.com/elvanderb/TCP-32764/issues/16)
• Netgear VMDG480 (aka. VirginMedia SuperHub) swv 2.38.01 (https://github.com/elvanderb/TCP-32764/issues/16)
• Netgear VMDG485 (aka. VirginMedia SuperHub 2) swv1.01.26 (https://github.com/elvanderb/TCP-32764/issues/16)
• Cisco E2000 fwv 1.0.02 (https://github.com/elvanderb/TCP-32764/issues/17)
• Cisco Linksys E4200 V1 fwv 1.0.05 (https://github.com/elvanderb/TCP-32764/issues/18)
• NETGEAR CG3700EMR as provided by ComHem Sweden (https://github.com/elvanderb/TCP-32764/issues/20)
• Netgear RP614v[4,2] V1.0.8_02.02 (https://github.com/elvanderb/TCP-32764/issues/22 https://github.com/elvanderb/TCP-32764/issues/24)
• Netgear DG834G v5 (manufactured by Foxconn as opposed to the previous versions, nice finding anthologist https://github.com/elvanderb/TCP-32764/issues/28)
• NETGEAR WNR3500Lv2
• WRT320N (https://github.com/elvanderb/TCP-32764/issues/31)
• Netgear DGND3700 (https://github.com/elvanderb/TCP-32764/issues/33)
• Cisco WRVS4400N (https://github.com/elvanderb/TCP-32764/issues/36)

Wie schön, einen aus dieser Liste zu haben

[Quintus14]

@ Christoph: danke fürs Aufmerksammachen. Btwy - meinen TL-WR1043ND find' ich jetzt weder da noch dort.

[Christoph]

Router auf Backdoor testen

Zitat:

Nach der Entdeckung des undokumentierten Dienstes, über den man unter anderem bei Routern von Linksys und Netgear die Systemkonfiguration manipulieren kann, wird die Liste der betroffenen Geräte immer länger. Was es mit dem ominösen Dienst auf sich hat, dazu hüllen sich die Hersteller bislang in Schweigen. Ob auch Ihr Router auf dem Port 32764 lauscht, können Sie mit dem Netzwerkcheck von heise Security herausfinden.

Erreichbarkeit im lokalen Netz testen

Um zu checken, ob der Dienst auf Ihrem Router aktiv ist, können Sie das von Proof-of-Concept von Eloi Vanderbeken verwenden. Es setzt ein installiertes Python voraus und wird wie folgt aufgerufen:

python backdoorolol.py --ip <IP-Adresse des Routers>

Das Skript gibt nun eine Einschätzung darüber ab, ob der Dienst läuft (etwa "<IP-Adresse>:32764 is vulnerable!"). Hängen Sie den Parameter --print_conf an den Befehl, um die Konfigurationsdatei ausgeben zu lassen.

Ein Schnelltest gelingt unter Windows auch mit Bordmitteln. Mit dem Befehl telnet <router ip> 32764 herausfinden, ob der Router lauscht. Ab Windows 7 aufwärts müssen Sie Telnet zunächst aktivieren, unter Linux können Sie zu netcat greifen. Wenn der Verbindungsaufbau gelingt, drücken Sie die Enter-Taste. Der Dienst gibt sich durch die Zeichenfolge "ScMM" zu erkennen, es scheint aber auch Varianten zu geben, die etwa "MMcS" schicken.

Erreichbarkeit über das Internet prüfen

Das Worst-Case-Szenario ist, dass der Dienst über das Internet erreichbar ist und somit jedem, der etwa durch einen Portscan darauf aufmerksam wird, Zugriff auf die Router-Konfiguration ermöglicht. Ein Angreifer kann darüber nämlich nicht nur die Einstellungen auslesen – einschließlich aller Passwörter im Klartext, sondern möglicherweise auch manipulieren. So könnte etwa der eingestellte DNS-Server geändert werden, was dazu führen kann, dass der Datenverkehr umgeleitet wird.

Um herauszufinden, ob der ominöse Dienst auf Ihrem Router auf der WAN-Schnittstelle lauscht, können Sie den Netzwerkcheck von heise Security benutzen. Wählen Sie unter "Art des Scans" die Option "Mein Scan" und tragen Sie in das Textfeld den Port 32764 ein. Anschließend versucht unser Testsystem eine Verbindung herzustellen. Wenn dies gelingt – und Sie für diesen Port nicht explizit eine Weiterleitung im Router konfiguriert haben – ist Ihr Router potenziell betroffen.

Im zweiten Schritt könnten Sie probieren, ob Sie die Konfigurationsdatei mit dem Python-Skript von Eloi Vanderbeken auslesen können. Um sicherzustellen, dass der Datenverkehr dabei tatsächlich über das Internet geroutet wird, sollten Sie diesen Test von einem anderen Internetanschluss fahren.

Alternativ können Sie den Router Backdoor Scanner ausprobieren, der die Konfiguration über einen externen Server auszulesen versucht. Anschließend empfiehlt es sich, die Passwörter zu ändern, da auch der Betreiber der Seite grundsätzlich Zugriff auf die ausgelesen Daten hat. Wenn der Router die Konfiguration tatsächlich über das Internet preisgibt, ist es ratsam, das Gerät aus dem Verkehr zu ziehen und den Hersteller zu kontaktieren. (rei)

Quelle: http://www.heise.de/newsticker/meldu...n-2074844.html

[Christoph]

Backdoor in Routern: Hersteller rätseln und analysieren Update

Zitat:

Über eine Woche, nachdem die in zahlreichen Routern enthaltene Backdoor aufgedeckt wurde, melden sich nun auch die Hersteller zu Wort. So erklärte ein Sprecher des zu Belkin gehörenden Netzwerkausrüsters Linksys, dass man sich des Problems bewusst sei und derzeit an einer Lösung arbeite. Linksys ist gleich mehrfach auf der Liste der betroffenen Geräte vertreten. Bei einem der Router, dem WAG120N, soll die undokumentierte Hintertür sogar über das Internet erreichbar sein.

......

Update vom 7. Januar 2013, 16:20: Inzwischen hat auch Cisco auf unsere Anfrage reagiert. Das Unternehmen hat demnach sein Product Security Incident Response Team eingeschaltet, um den Sachverhalt zu analysieren. "Wenn es eine Sicherheitslücke gibt oder eine Hinweis, den wir unseren Kunden geben müssen, werden wir dies gemäß unserer Security Vulnerability Policy bekanntgeben. [...] Unsere Unternehmenspolitik untersagt es, Backdoors in unsere Produkte zu installieren", so Cisco. Der Netzwerkausrüster ist bisher mit fünf Produkten auf der Liste der betroffenen Geräte vertreten, der WAP4410N-E soll auf Anfragen aus dem Internet reagieren. Cisco hat im Jahr 2003 das Unternehmen Linksys gekauft und Anfang 2013 an Belkin weiterveräußert. (rei)

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...n-2077308.html

[Christoph]

Hintertür in Routern: Hersteller versprechen Updates

Zitat:

Cisco will bis Ende Jänner nachbessern, Netgear und Linksys haben noch keine Termine genannt.

Anfang des Jahres wurden von einem Hacker seltsame Backdoors bei Routern von Netgear, Linksys und Cisco entdeckt. Wie Heise berichtet, bestätigen die Hersteller diese Hintertür mittlerweile und versprechen Sicherheitsupdates, die das Problem beseitigen sollen.

Wie Heise Security überprüfte, können Angreifer über diese Hintertür könnensämtliche Konfigurationsdaten auslesen und manipulieren. Das beinhaltet unter anderem Passwörter für den Admin-Zugang der Router, das WLAN, Proxserver, sogar Passwörter und Zertifikate für VPNs wurden auf einzelnen Geräten entdeckt.
Ende Jänner

Cisco hat nun zugesichert, bis Ende des Monats kostenlose Updates zu liefern, die das Problem beheben. Bis dahin können sich die Nutzer allerdings kaum schützen, denn einen Workaround nannte der Hersteller nicht.

Auch Netgear und Linksys versprachen Updates, allerdings noch keine konkreten Termine. Wie es überhaupt zu der mysteriösen Hintertür gekommen ist, konnte bislang keines der Unternehmen erklären. Offenbar besteht das Problem jedoch schon sehr lange. Cisco habe angedeutet, es könne sich um eine vergessene Testfunktion handeln, heißt es in dem Bericht.

Quelle: http://futurezone.at/digital-life/hi...tes/46.028.523
http://www.heise.de/newsticker/meldu...z-2084884.html