Backdoor bei Routern von Linksys und Netgear entdeckt
Das Thema ist nicht neu, in regelmäßigen Abständen berichten wir über manipulierbare Router. Jetzt wurde auf WLAN-Routern von Linksys, Netgear und anderen ein undokumentiert laufender Dienst entdeckt, der es erlaubt, die Konfiguration samt Passwörtern über das lokale WLAN-Netz auszulesen und zu manipulieren.
Der Hacker Eloi Vanderbeken versuchte während der Feiertage, Zugang zum Administrator-Panel des Linksys WAG200G seiner Familie zu bekommen, obwohl er das Panel früher gesperrt hatte und das Passwort nicht mehr verfügbar war. Bei seinen Scans entdeckte er unter anderem, dass auf dem TCP-Port 32764 ein aktiver Dienst lief, der in keiner Dokumentation auftaucht. Eine Recherche im Internet ergab, dass auch weitere Anwender diesen Dienst entdeckt hatten, ohne die Bewandtnis ergründen zu können.
Vanderbecken lud die entsprechende Firmware aus dem Internet und untersuchte den MIPS-Code mit dem Analysewerkzeug binwalk. Dabei entdeckte er eine einfache Schnittstelle, über die er Kommandos an den Router senden konnte, ohne als Administrator authentifiziert zu sein. Ein erster Versuch setzte alle Einstellungen samt Passwörtern auf Werkseinstellungen zurück. Nach weiteren Tests erstellte Vanderbecken ein Script, dass er auf Github zur Verfügung stellte. Das Script erlaubt den Zugang zur Administrations-Schnittstelle ohne Kenntnis des Passworts. Kurz darauf meldeten sich andere Anwender, die bestätigten, dass auch andere Linksys-Router und auch solche von Netgear die undokumentierte Schnittstelle aufweisen.
Ein erster Hinweis, woher die Backdoor stammt gab der String „ScMM“ im Quellcode. Diese Buchstabenfolge könnte auf den Hersteller SerComm hinweisen, der zumindest einige der betroffenen Geräte hergestellt hat. Da SerComm als OEM unter anderem auch Router für Belkin und LevelOne, Diamond und Cisco herstellt, könnten auch Geräte dieser Marken betroffen sein. Bisher wurde die Backdoor zumindest in den Modellen Cisco WAP4410N, Diamond DSL642WLG und LevelOne WBR3460B entdeckt.
Wie der Newsdienst Heise Online heute berichtet, soll es entgegen ersten Aussagen möglich sein, den Dienst nicht nur im lokalen Netz sondern auch über das Internet zu erreichen. Die Suchmaschine Shodan erbrachte nach einer Suche nach Antworten auf Port 32764 rund 3.000 betroffene IP-Adressen, 60 davon in Deutschland. Eine Antwort auf eine Nachfrage seitens Heise Security bei Linksys und Netgear steht noch aus.