Unbekannte veröffentlichen IP-Adressen von unsicheren Asus-Routern

NetzwerkeSicherheit
Die Bundesnetzagentur will den Routerzwang per Verordnung abschaffen.

Die Sicherheitslücke war bereits im Juni 2013 von Kyle Lovett aufgedeckt worden. Eine Gruppe Unbekannter wirft Asus nun grob fahrlässiges Verhalten vor und hat quasi als Strafe fast 13.000 IP-Adressen angreifbarer Asus-Router veröffentlicht. Offenbar haben viele Nutzer eines Asus-Routers die aktualisierte Firmware nicht eingespielt.

Eine vermutlich neunköpfige Gruppe Unbekannter hat 12.937 Adressen von Asus-Routern sowie mehrere tausend Listen von über die Asus AiCloud geteilten Dateien ganz oder teilweise veröffentlicht. Sie wollen damit aus ihrer Sicht schwerwiegende Designfehler in der Firmware und die Untätigkeit der Netzbetreiber anprangern.

asus-router

Die Sicherheitslücken waren am 22. Juni 2013 von Kyle Lovett gemeldet worden. Es hatte bereits damals rund einen Monat gedauert, bis Asus mit Version 3.0.0.4.372 seiner Firmware ein Update bereitgestellt hatte, dass die Probleme beseitigt.

Offensichtlich haben aber nicht alle Anwender dieses oder ein späteres Update eingespielt. Das ist insbesondere bei privat genutzten Routern ein gängiges Problem – die meisten Nutzer rühren das Gerät nicht an, so lange es seinen Dienst versieht. Immer wieder fordern Experten daher, dass die Hersteller Updates nicht nur bereitstellen, sondern aktiv verteilen.

Die Unbekannten, die nun die IP-Adressen der immer noch angreifbaren Asus-Router veröffentlicht haben, und sich selbst unter anderem “Gargamel” und “Voldemort” nennen, werfen Asus ebenfalls Untätigkeit vor und wollen auf die ihrer Ansicht nach dilettantischen Fehler in der Router-Software aufmerksam machen.

Erstens erlaube die Standardeinstellung für den FTP-Server das anonyme Log-in. “Asus nennt dieses Feature limitless access rights. Wir nennen es Wahnsinn”, schreiben sie. Das begründen sie damit, dass so praktisch jeder Internetnutzer Zugriff auf per USB angeschlossenen Speicher bekomme und dort Dateien herunterladen oder ablegen könne. Zweitens würden Nutzername und Passwort für die AiCloud in Klartext in einer ohne Log-in zum Download bereitstehenden Datei gespeichert. Das bezeichnen sie als Irrsinn.

Den Unbekannten zufolge hat Asus seine Pflichten als Hersteller nicht wahrgenommen, Netzbetreiber hätten zudem ihre Netze prüfen und betroffene Kunden warnen sollen. Auch das sei nicht geschehen. Dafür, dass nun Unbeteiligte durch die Veröffentlichung in Gefahr geraten, entschuldigen sie sich, begründen das aber damit, dass sonst keinerlei Änderung herbeizuführen sei.

Asus war im vergangenen Jahr, ebenso wie D-Link, Linksys und Trendnet, wegen zahlreichen anderen Sicherheitslücken in WLAN-Routern in die Kritik geraten. Damals hatte das Sicherheitsunternehmen Independent Security Evaluators insgesamt 56 Schwachstellen gefunden. Sie ermöglichen Angreifern unter anderem, den gesamten Internetverkehr abzuhören.

Firmenchef Jake Holcomb hatte auf der Security-Konferenz Defcon 21 anhand der Modelle Asus RT-AC66U, D-Link DIR 865L und Trendnet TEW-812DRU gezeigt, wie sich die Schachstellen ausnutzen lassen. Laut Holcomb sind viele WLAN-Router “sehr anfällig für Angriffe” und “nicht geeignet, um ein Netzwerk oder den digitalen Besitz zu schützen.”

Dem Experten zufolge sind durch die Lücke auch viele Nutzer von Geräten anderer Hersteller betroffen. Denn praktisch jede Person, die sich mit einem der fraglichen Router verbinde, gehe ein Risiko ein: Sobald ein Hacker Zugang zu einem WLAN-Netz habe, könne er eine der 56 Schwachstellen benutzen, um den zugehörigen Router zu kompromittieren und den gesamten darüber laufenden Internetverkehr abzuhören. Dass die Router auch zum Betrieb öffentlicher WLAN-Netze benutzt würden, sowie oft nur durch schwache oder mehrfach verwendete Passwörter gesichert werden, mache die Sache noch schlimmer.

Bereits im Februar 2013 hatte auch der deutsche Sicherheitsexperte Michael Messner in WLAN-Routern erhebliche Sicherheitslücken gefunden. Auch die darauf aufbauenden Angriffe waren relativ einfach durchzuführen. Die Sicherheitslücken entstanden ebenfalls durch mangelhafte Zugangsbeschränkungen und das Fehlen angemessener Validierung von Eingaben. Angreifer konnten unter anderem das Passwort ändern.

Mit Problemem bei Routern kämpft augenblicklich auch AVM. Unbekannten ist es da offenbar gelungen, Zugangsdaten abzugreifen. Sie nutzen diese nun, um über Fritz-Boxen, die für den Fernzugriff konfiguriert sind, teure Mehrwertdienset im Ausland anzurufen. AVM empfiehlt, den Fernzugriff vorerst abzuschalten und für die Fritz-Boxen genutzte Passwörter zu ändern. Der deutsche Hersteller geht der Sache derzeit zusammen mit Ermittlungsbehörden nach.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen