Cyber-Kriminelle interessieren sich nicht mehr nur für PCs. Immer
öfter geraten nun auch
Router, wie sie zur Anbindung kleiner Netze ans Internet benötigt werden, ins Visier der Angreifer. Diesmal sind nach Angaben von Sicherheitsforschern sowohl Modelle von Netgear als auch Zhone betroffen.
Mitarbeiter von
Compass Security und
Shellshock Labs haben eine Lücke in Netgear-Routern entdeckt, die einem Angreifer Zugriff auf die Verwaltungsoberfläche des Geräts verschaffen soll, ohne dass dieser dafür Zugangsdaten benötigt. Das Sicherheitsloch wurde nur zufällig bemerkt, als dem Sicherheitsexperten Joe Giron auffiel, dass die DNS-Einstellungen (Domain Name System) in seinem privaten Router verändert worden waren.
Das bedeutet, dass jede seiner DNS-Abfragen über fremde Server geleitet worden waren. Mehrere Auswirkungen sind dadurch möglich: Zum Beispiel können Angreifer so genau verfolgen, welche Webseiten ein Opfer aufgerufen hat. Außerdem können sie DNS-Abfragen manipulieren, so dass dem Surfer gefälschte Webseiten untergeschoben werden.
Netgear hat gegenüber der BBC
angekündigt, die Lücke in den nächsten Tagen zu schließen. Besitzer eines der betroffenen Modelle JNR1010v2, JNR3000, JWNR2000v5, JWNR2010v5, N300, R3250, WNR2020, WNR614 oder WNR618 müssen die Firmware dann allerdings manuell einspielen, ein automatisches Update soll nicht möglich sein. Die Zahl der gefährdeten Geräte schwankt je nach Quelle zwischen „weniger als 5.000“ bis zu „mehr als 11.000“.
Auch Router des kalifornischen Herstellers Zhone sollen mehrere Lücken enthalten haben. So
berichtet der Sicherheitsforscher Lyon Yang von Vantage Point Security, dass es möglich gewesen sei, von der Ferne aus Schadcode auf den betroffenen Geräten auszuführen. Zhone soll bereits ein Firmware-Update auf Version S3.1.241 veröffentlicht haben, das bei den meisten Anwendern automatisch eingespielt werde.
Update: Wir wurden von Netgear kontaktiert. Der angekündigte Security-Patch wurde bereits fertiggestellt und kann
hier heruntergeladen werden. Laut Netgear kann die Sicherheitslücke nur aus dem lokalen Netz (LAN/WLAN) oder, wenn die Remote-Verwaltung aktiviert ist, auch über das Internet ausgenutzt werden. Diese sei aber standardmäßig deaktiviert.