2082652

Neues Exploit-Kit nutzt Router-Schwachstellen

28.05.2015 | 09:16 Uhr |

Ein neu entdeckter Angriffsbaukasten attackiert etliche anfällige Router-Modelle über den Browser des Benutzers, also aus dessen internem Netzwerk. Der Router wird manipuliert und leitet dann DNS-Anfragen an die Angreifer um.

Etliche Router diverser Hersteller weisen teils gravierende Sicherheitslücken auf. Anders als viele wohl annehmen, ist es keineswegs selbstverständlich, dass durch den Hersteller bereit gestellte Firmware-Updates automatisch installiert werden. Und so sind noch viele Router in Betrieb, die nie ein Update erhalten haben, obwohl es verfügbar wäre. Da wundert es nicht, wenn in einem neuen Exploit-Kit Angriffs-Code steckt, der auch uralte Schwachstellen in betagten Router-Modellen auszunutzen versucht.

Ein französischer Sicherheitsforscher mit dem Pseudonym Kafeine ist auf einen neuen Angriffsbaukasten gestoßen und hat ihn etwas näher untersucht. Dabei hat er heraus gefunden, dass damit präparierte Web-Seiten über den Browser Attacken auf den Router den Besuchers ausführen. Der Script-Code versucht zunächst das Router-Modell zu ermitteln und bringt dann einen darauf abgestimmten Exploit (Angriffs-Code) zur Ausführung.

There's a new Kit on the Blog
Dabei nutzt das Exploit-Kit bekannte Sicherheitslücken aus oder probiert Standardkombinationen aus Benutzername und Passwort durch, um sich als Router-Admin anzumelden. Gelingt der Angriff, manipuliert der Angreifer die DNS-Einstellungen des Routers. Das heißt, er trägt andere DNS-Server ein, die unter der Kontrolle der Angreifer stehen.

Ein DNS-Server ist eine Art Telefonauskunft des Internet. Er nimmt etwa die Web-Adresse (www.website.de) entgegen und liefert die dazu gehörende IP-Adresse zurück. Erst damit kann der Browser die gewünschte Website aufrufen. Ist der Router entsprechend manipuliert, fragt er betrügerische DNS-Server ab, die den Benutzer zum Beispiel zu einer Imitation der gesuchten Website leiten, etwa die einer Bank oder eines anderen Online-Dienstes (WebMail, Facebook, Twitter, ...), der eine Anmeldung erfordert. Diese Manipulation ermöglicht also Phishing-Angriffe, die zu bemerken ein Benutzer kaum eine Chance hat.

Betroffen, also auf der Abschussliste der Angreifer, sind verschiedene Router diverser Hersteller wie Asus, Belkin, Dlink, Linksys, Netgear, Trendnet, ZyXEL und andere. AVMs Fritzboxen und die Speedlink-Router der Telekom sind derzeit nicht im Fokus der Angreifer. Das Exploit-Kit wird offenbar aktiv weiterentwickelt. Damit kann auch die Liste angegriffener Router-Modelle länger werden.

Dessen ungeachtet sollten Sie Ihrem DSL-/WLAN-Router ein paar Minuten Aufmerksamkeit widmen. Überprüfen Sie die Firmware-Version, schauen Sie auf der Hersteller-Website nach dem neuesten Update und spielen Sie dieses ein. Falls noch das Hersteller-seitig vorgegebene Standardpasswort eingestellt ist, ändern Sie es. Wählen Sie eines, das nicht so leicht zu erraten oder durch Wörterbuchangriffe zu knacken ist.

Das finnische Sicherheitsunternehmen F-Secure bietet einen Router-Check an, der die IP-Adresse des benutzten DNS-Servers mit einer Liste bekannt zweifelhafter Adressen abgleicht. Dies kann einen Hinweis auf eine bereits erfolgte Manipulation liefern.

0 Kommentare zu diesem Artikel
2082652