Router durch Sicherheitslücken bei Fernwartung gefährdet
Neue Firmware und Sicherheitsupdates für DSL-Router und Kabel-Router: Vielfach können Provider per Fernwartung auf die Geräte ihrer Kunden zugreifen und diese entsprechend aktualisieren. Doch die von Internetanbietern weltweit genutzte komfortable Fernwartung über Autokonfigurationsserver (ACS) per Protokoll TR-069 birgt offenbar erhebliche Sicherheitsrisiken. Das israelische IT-Sicherheitsunternehmen Check Point Software warnt aktuell vor der realen Gefahr einer Manipulation von Millionen Routern.
Aber auch DSL-Anbieter sowie Kabelnetzbetreiber in Deutschland würden auf das Protokoll TR-069 setzen. Unklar sei, welche Server-Software bei den deutschen Anbietern zum Einsatz kommt. Die TR-069-Funktion sei bei einigen von Providern zur Verfügung gestellten Routern nicht deaktivierbar, bei frei verkäuflichen Routern hätten Nutzer dagegen die Wahl und könnten TR-069 bei Bedarf abschalten.
Wie können sich Nutzer vor möglichen Attacken durch Ausnutzung der geschilderten Sicherheitslücken schützen. Experte Tal rät zum einem zur Abschaltung von TR-069 bei Geräten, wo dies über das Web-Interface möglich ist. Andernfalls solle der Provider eine aktuelle Firmware bereitstellen, die den Kunden eine solche Abschaltung ermöglicht. Ein eigener vorgeschalteter Router mit deaktiviertem TR-069 sei eine weitere Alternative.
Auch Router in Deutschland betroffen?
Wie heise.de berichtet habe der israelische IT-Experte Shahar Tal für Check Point Software vor allem die Sicherheit von ACS-Servern bei Providern im Nahen Osten untersucht. Ein Internetanbieter erlaubte durch die Schwachstelle beispielsweise den Fernzugriff auf rund 500.000 seiner DSL-Router.Aber auch DSL-Anbieter sowie Kabelnetzbetreiber in Deutschland würden auf das Protokoll TR-069 setzen. Unklar sei, welche Server-Software bei den deutschen Anbietern zum Einsatz kommt. Die TR-069-Funktion sei bei einigen von Providern zur Verfügung gestellten Routern nicht deaktivierbar, bei frei verkäuflichen Routern hätten Nutzer dagegen die Wahl und könnten TR-069 bei Bedarf abschalten.
Sicherheitslücken mit erheblichem Gefahrenpotential
Die Gefahren, die von der Sicherheitslücke ausgehen, sind erheblich. In den OpenSource-Programmen openACS und genieACS entdeckte Tal Bugs, die beispielsweise die Ausführung von Remote-Code erlaubten. Besonders bedenklich: Das Programm genieACS erlaubte das Ausführen von manipuliertem Code unter Root-Rechten und gibt damit einem Angreifer freien Zugang auf den ACS-Router und die darüber kontrollierten Router der Kunden. Es lassen sich VoIP-Zugangsdaten auslesen, DNS-Einstellungen des Routers manipulieren und Firmware mit einem Hintertürchen für Kriminelle auf die Router übertragen.Wie können sich Nutzer vor möglichen Attacken durch Ausnutzung der geschilderten Sicherheitslücken schützen. Experte Tal rät zum einem zur Abschaltung von TR-069 bei Geräten, wo dies über das Web-Interface möglich ist. Andernfalls solle der Provider eine aktuelle Firmware bereitstellen, die den Kunden eine solche Abschaltung ermöglicht. Ein eigener vorgeschalteter Router mit deaktiviertem TR-069 sei eine weitere Alternative.