Sicherheits-News

Nach Telekom-Router-Hack: Avast Heimnetzwerk-Sicherheit zeigt Router-Schwachstellen an

Marina Ziegler, 30 November 2016

Wer wissen möchte, ob sein Router von der Schwachstelle betroffen ist, die dieses Wochenende hunderttausende von Telekom-Kunden betroffen hat, kann dies mit Avast Heimnetzwerk-Sicherheit kostenlos herausfinden.

home-router-small.jpg

An diesem Wochenende sind rund 900.000 Router der Deutschen Telekom durch einen Hacker-Angriff lahmgelegt worden. Die Telekom hat ein Update zur Verfügung gestellt, das sich automatisch nach einem Routerneustart installiert.

Wer seine Routersicherheit überprüfen möchte, kann den Avast-Heimetzwerk-Sicherheits-Scan ausführen, verfügbar in Avast Free Antivirus und allen Premium-Versionen von Avast. Der Scan prüft, ob der Router den betroffenen Port 7547 nutzt und ob dieser offen ist - und damit für Attacken anfällig ist. Dazu in Avast Free Antivirus einfach unter "Überprüfung" die Auswahl "Nach Netzwerkbedrohungen scannen" treffen.

Router HNS.jpg

Englische Version von Avast Heimnetzwerk-Sicherheit: Avast erkennt, ob der Router den anfälligen Port 7547 nutzt, und ob dieser offen, und damit auch für Angriffe anfällig ist.

Dass Router häufig verletzlich sind ist nichts Neues. Schon Ende 2014 haben wir in einer Studie herausgefunden, dass ca. drei Viertel aller Heimnetzwerke in Deutschland unsicher sind. Dies liegt häufig daran, dass Nutzer entweder voreingestellte Passwörter verwenden, die für Angreifer einfach zu erraten sind, oder neue, unsichere Passwörter nutzen. Im aktuellen Fall des Angriffs von Routern der Deutschen Telekom ging es allerdings um eine Sicherheitslücke. 

"Das Problem liegt in einer schadhaften Implementierung des CPE-WAN-Management (CWMP)-Protokolls, auch TR-069 genannt, welches einige Internet-Service-Provider (ISPs) wie die Deutsche Telekom für die Fernkonfiguration von Routern einsetzen, um beispielsweise Domain Name Service (DNS)- oder Network Time Protokoll (NTP)- Einstellungen zu ändern. CWMP nutzt den TCP Port 7547, der weltweit weit verbreitet ist. Es ist der Port, der weltweit am zweithäufigsten offen ist – mehr als 40 Millionen Mal – gleich nach dem TCP Port 80, der für HTTP genutzt wird. ISPs lassen den Port oft absichtlich offen, um das jeweilige Gerät aus der Ferne verwalten zu können. Allerdings ist das Gerät dadurch auch für Angreifer frei zugänglich", erklärt Pavel Šrámek, Malware Analyst bei Avast.

Er erwähnt zudem, dass es besonders perfide sei, dass Angreifer, nachdem sie ein Schadprogramm in das Gerät eingeschleust hätten, den Port hinter sich schließen könnten, so dass der ISP nun selbst nicht mehr auf das Gerät zugreifen könne, um das Schadprogramm zu entfernen.

Leider wurde kürzlich eine Schwachstelle öffentlich bekannt – ein Problem bei der Übertragung von NTP-Time-Server-Adressen. Normalerweise erlaubt das CWMP-Protokoll es dem ISP, den Namen eines NTP-Servers zu senden, woher das Gerät die aktuelle Zeit abrufen kann, um seine Uhr einzustellen. Durch eine Schwachstelle ist es Angreifern aber möglich, den NTP-Server-Namen mit einer Serie an Befehlen zu ersetzen, welches das Gerät dann ausführt und beispielsweise ein Schadprogramm herunterlädt und ausführt.

"Nicht alle Geräte, die via CWMP-Protokoll verwaltet werden, sind von dem Problem betroffen, sondern nur jene, die für diesen Vorgang keine Authentifizierung erfordern. So sind beispielsweise Geräte der Deutschen Telekom betroffen, wohingegen Router von Verizon keinen Schaden genommen haben, da Verizon eine Authentifizierung erfordert", sagt Pavel.

"So können Angreifer auf vielen Geräten Code ferngesteuert ausführen – so eben auch in Speedport-Routern der Deutschen Telekom. Viele ISPs haben die Schwachstelle auf ihren Geräten nicht rechtzeitig aktualisiert. Für Cyberkriminelle ist dies also ein gefundenes Fressen, da sie durch nur eine Schwachstelle hunderttausende von Geräten gleichzeitig angreifen können. Beispielsweise haben auch die Entwickler des bekannten Mirai-Botnets – was kürzlich IP-Kameras mit Default-Passwörtern angegriffen hat – begonnen, diese Schwachstelle auszunutzen. Es kann sein, dass die Mirai-Botnet-Autoren auch hinter dem Hack-Angriff auf Deutsche Telekom-Kunden stecken," erklärt Pavel weiter.

Viele Deutsche-Telekom-Kunden haben jetzt das Problem unsicherer Router am eigenen Leib erfahren. "Man kann sagen, dass dies leider nur ein Vorgeschmack war, auf das, was noch kommen könnte. Der nächste Schritt für Angreifer wäre, über die Router auf Geräte im Heimnetzwerk zuzugreifen, wie Webcams, Smart-TVs oder das Thermostat", sagt Pavel.

Wir als digitales Sicherheitsunternehmen arbeiten mit Router-Herstellern an Lösungen, um Router sicherer zu machen – letztendlich gehört Sicherheitssoftware direkt auf den Router, da er das Herzstück des Heimnetzwerks ist, über das alle smarten Geräte zuhause mit dem Internet verbunden sind.