ComputerBase Menü
Aktuelles

News VPNFilter: Router-Botnetz knackt HTTPS, Neustart reicht doch nicht aus

Kritisch könnte für deutsche Nutzer vor allem werden, dass das Huawei 8245 betroffen ist. Auf ähnlicher Hardware basieren meiner Meinung nach die Speedport Smart und Speedport Smart 2 der Telekom und die Software dafür kommt ebenfalls von Huawei. Verifizieren kann ich's nicht, aber ich würde das Thema im Auge behalten.
 
Harsiesis schrieb:
Aber Hauptsache Geräte kaufen, anstöpseln und es läuft. Was es macht, wies es macht, wie es mit updates aussieht scheint ja kein Thema zu sein.
Zum Vergrößern anklicken....

Naja zwar sind hier im Forum viele Technikaffin, aber trotzdem sind wir hier recht heterogen aufgestellt.

Für meinen Teil kann ich weder groß Programmieren, noch habe ich die Zeit mit sowas zu beschäftigen. Mir gehts vor allem darum immer auf dem neuesten Stand zur Technik zu sein: Wie heißen Sie? Was machen Sie? Um wie viel sind Sie besser? Vor- und Nachteile...

wie mein Router funktioniert, außer die basiscs.... keine ahnung.
 
  • Gefällt mir
Reaktionen: DannyA4, SirDoe, JackTheRippchen und eine weitere Person
Harsiesis schrieb:
Wenn ich gewisse Fragen mancher User hier lese, dann frage ich mich schon, wo erstens die Medienkompetenz geblieben ist und zweitens, ob ein Computerführerschein vielleicht doch noch gut wäre :lol::freak:

Aber Hauptsache Geräte kaufen, anstöpseln und es läuft. Was es macht, wies es macht, wie es mit updates aussieht scheint ja kein Thema zu sein.
Zum Vergrößern anklicken....

Komm mal wieder von deinem hohen Ross runter.
 
  • Gefällt mir
Reaktionen: Gnarfoz, dideldei, njchw und 4 andere
Gibt es denn Neuigkeiten dazu, inwiefern die ConnectBox von UNitymedia davon betroffen sein könnte? Wüsste mich gerne auf der sicheren Seite...

Harsiesis schrieb:
Wenn ich gewisse Fragen mancher User hier lese, dann frage ich mich schon, wo erstens die Medienkompetenz geblieben ist und zweitens, ob ein Computerführerschein vielleicht doch noch gut wäre :lol::freak:

Aber Hauptsache Geräte kaufen, anstöpseln und es läuft. Was es macht, wies es macht, wie es mit updates aussieht scheint ja kein Thema zu sein.
Zum Vergrößern anklicken....

Ich gehe davon aus, dass Du die Ersatzteile für dein Auto selber auswählst, kaufst und einbaust. Außerdem natürlich auch selber die Heizungsanlage installierst und die Platine der defekten Mikrowelle rettest. Respekt.
 
  • Gefällt mir
Reaktionen: Gnarfoz, dideldei, njchw und 6 andere
Naja so wirklich ist HTTPS nicht geknackt, sondern es ist der altbekannte Weg des Encryption Downgrading.

Trotzdem natürlich sehr nervig. Und ich habe das Gefühl dass da noch mehr Router von betroffen sein werden.

Kann man in den Browsern/EMail Clients eigentlich irgendwo einstellen, dass nur HTTPS verwendet werden darf? Schließt zwar nach wie vor viele Seiten aus, wäre aber aktuell eine angemessene Maßnahme in betroffenen Netzwerken.
 
Ich würde mich im übrigen nicht auf einzelne Modelle genannter Hersteller verlassen.

Oft liest man hier "Zum Glück ist mein Modell nicht betroffen". Sobald aber ein einziges Modell eines Herstellers in der Liste auftaucht, ist davon auszugehen, dass auch die restlichen Modelle betroffen sind - zumindest innerhalb einer Gerätegeneration. Die Firmware wird ja von Schwester-Modell zu Schwester-Modell nicht neuprogrammiert, sondern lediglich in der Ausstattung angepasst (zB WLAN-ac ja/nein).

Auch sind neuere Generationen nicht zwangsläufig sicherer, weil auch hier eher selten das Rad neu erfunden wird. Selbst wenn die Web-Oberfläche im Browser anders aussieht, kann unter der Haube trotzdem 1:1 derselbe Mist laufen - inkl. Sicherheitslücke(n).


Ob Geräte im LAN gefährdet sind? Indirekt ja. Durch die Sicherheitslücke ist es den Angreifern ja offenbar möglich, den Datenverkehr zu kontrollieren. So können sie gezielt bestimmen was zB ein PC beim Aufruf einer Webseite zu sehen bekommt. Daraus ergeben sich natürlich weitere Angriffsvektoren, die letztendlich auch den PC direkt gefährden können.
 
  • Gefällt mir
Reaktionen: DaZpoon
Ich habe zur Liste bzw. zu den empfohlenen Massnahmen folgende Frage:
Bringt es etwas, eine Firmware neu aufzuspielen, wenn die installierte Firmware bereits die neuste/aktuellste ist?
Hintergrund: Ich habe anfangs Woche mein gesamtes Netzwerk samt NAS und PCs runtergefahren und dann neugestartet. Nirgends war eine neuere Firmware bzw. Updates erhältlich als die bereits installierten. Jetzt finde ich aber meinen Router von Asus in der Liste der potentiell gefährderten Geräte. Deshalb die Frage, ob das "Drüberbügeln" einer neuen Firmware was bringen würde (wenn es denn möglich sein sollte - das habe ich eben nicht ausprobiert).
 
Raijin schrieb:
Ob Geräte im LAN gefährdet sind? Indirekt ja. Durch die Sicherheitslücke ist es den Angreifern ja offenbar möglich, den Datenverkehr zu kontrollieren.
Zum Vergrößern anklicken....
Da der Virus ja im Router sitzt offenbar nicht nur den Verkehr ins Internet sondern möglicherweise auch den innerhalb des Heimnetzwerkes, oder? D.h. alle (unverschlüsselten) Verbindungen innerhalb des Heimnetzes sind kompromitiert (Router-PW,sowieso, SMB, ...?).
 
Wie sieht's mit Fritzboxen aus? Sind die auch kompromittiert?

Ach ist ja avm. Hat sich erledigt.
 
Cool... die letzte Firmware für den Linksys E4200 ist von 2014(!)
...den kann man dann nur wegwerfen oder nicht mehr als Router nutzen... Dreckskastln, Drecksfirma! :freak:
 
DaZpoon schrieb:
Da der Virus ja im Router sitzt offenbar nicht nur den Verkehr ins Internet sondern möglicherweise auch den innerhalb des Heimnetzwerkes, oder?
Zum Vergrößern anklicken....
Nicht zwangsläufig. In einem geswitchten Netzwerk bekommt der Router gar nichts davon mit, wenn zwei Geräte direkt über einen Switch verbunden sind, weil der Switch dann bereits nur zwischen den beiden Ports vermittelt, an denen die Geräte hängen.

Beispiel:
Router --LAN-- Switch ==LAN== PC1+2

PC1 und PC2 würden sich nun direkt über den Switch unterhalten und der Router weiß davon gar nicht, weil bei ihm schlicht und ergreifend nichts davon ankommt.

Sind zwei Geräte am internen Switch des Routers angeschlossen, kann es anders aussehen. Prinzipiell arbeitet aber auch da ein handelsüblicher Switch, der mehr oder weniger autark seinen Job tut: Eingehende Pakete von Port x an Port y weiterleiten.

Die Frage ist am Ende wie viel Kontrolle der Angreifer über den Router erlangen kann. Um vom Router aus in die Datenverarbeitung des internen Switches reinzugucken, gehört schon einiges, da das wie gesagt weitestgehend ein autarkes Bauteil ist, das Verteilen der Pakete passiert also in dem Switch-Chip, hardwaremäßig. Die CPU des Routers hat damit grundsätzlich nix am Hut.
 
Cool Master schrieb:
Infizierungsweg noch unbekannt
Zum Vergrößern anklicken....

grad auf heise entdeckt, infizierungsweg bekannt:
20141114-terrible-two-men-in-dush-room.gif
 
  • Gefällt mir
Reaktionen: dideldei, Master_Chief_87, kryzs und 4 andere
XTR³M³ schrieb:
grad auf heise entdeckt, infizierungsweg bekannt:
20141114-terrible-two-men-in-dush-room.gif
Zum Vergrößern anklicken....

Der Infizierungsweg ist ja mal richtig "scheiße".
 
  • Gefällt mir
Reaktionen: XTR³M³
@XTR³M³

Ja das is schon ne scheiß Situation.
 
  • Gefällt mir
Reaktionen: XTR³M³
Cool Master schrieb:
Ich würde auch, wenn nicht schon passiert, UPNP deaktivieren.
Zum Vergrößern anklicken....

Generell eine sehr gute Idee - UPNP ist ein Einfallstor für jegliche Bedrohungen, da du im Zweifel gar nicht unbedingt mitbekommst, wenn da irgendwas deinen Router oder deine Geräte um konfiguriert.
Das würde schon reichen wenn sich irgendwo auf einem Gerät im LAN ein kleiner Schädling eingenistet hat, der (angenommen) über eine infiltrierte Webseite in der Lage ist von deinem/einem Client aus UPNP Pakete zum Router zu senden. -> damit macht der Angreifer die Firewall auf und/oder richtet ein NAT von public zu inside ein und deine eigentlich im LAN nicht von public erreichbaren Geräte sind offen...
Spontan fällt mir absolut kein Grund ein, warum man die Sicherheit des eigenen Netzwerks derart aus der Hand geben sollte - außer einfach nur Bequemlichkeit. (dann braucht man sich aber nicht mehr wundern)

Floxxwhite schrieb:
wie mein Router funktioniert, außer die basiscs.... keine ahnung.
Zum Vergrößern anklicken....

Im eigenen Interesse was das Thema Security im (Heim)Netzwerk angeht wäre das allerdings durchaus sinnig sich mit dem Thema etwas intensiver zu beschäftigen. Vor allem macht es solche Themen wie hier im Thread ungemein einfacher zu verstehen, wenn man weis wie der "Verkehr" läuft und worauf es im Endeffekt ankommt...

DaZpoon schrieb:
Naja so wirklich ist HTTPS nicht geknackt, sondern es ist der altbekannte Weg des Encryption Downgrading.
Zum Vergrößern anklicken....

Nein - nichtmal das, laut dem Blog von Talos ist es ein stumpfes Umschreiben von HTTPS auf HTTP bei unverschlüsselten Verbindungen. Von Downgrade-Attacken lese ich da erstmal nix. Vor allem sogar eher einen Widerspruch - da man rein TCP Port 80 auf 8888 umleitet auf dem infizierten Gerät - HTTPS läuft aber über TCP 443 -> das kommt da also gar nicht vorbei, wird nicht angefasst, wird nicht entschlüsselt und sollte von diesem Gesichtspunkt her auch "sicher" sein...


DaZpoon schrieb:
Da der Virus ja im Router sitzt offenbar nicht nur den Verkehr ins Internet sondern möglicherweise auch den innerhalb des Heimnetzwerkes, oder? D.h. alle (unverschlüsselten) Verbindungen innerhalb des Heimnetzes sind kompromitiert (Router-PW,sowieso, SMB, ...?).
Zum Vergrößern anklicken....

Jain...
Router PW potentiell - kommt drauf an, ein Schädling, der tief im OS des Routers eingenistet ist, hat ggf. Zugriff auf den private Key des SSL Certs was für die Router-Konfig-Page zuständig ist -> kann damit also potentiell auch in die HTTPS Verbindung zum Router reinsehen. (davon steht aber nix im Cisco Talos Blog!)
Der Rest? Solange du nicht via Broadcast/Multicast im Netz agierst und ein geswitchtes Netzwerk verwendest, sollte das relativ sicher sein...
Möglichkeiten da Daten abzufingern gibts aber weiterhin, Stichwort bspw. ARP-Spoofing -> also der/dein Dienst auf dem infizierten Router könnte ARP Anfragen manipulieren und sich zwischen zwei Geräten zwischen klemmen, weil er sich als das eigentliche Ziel ausgibt und die Daten dann zum eigentlich Ziel weiter schiebt.
Man muss allerdings ggf. auch bisschen die Kirche im Dorf lassen - es gibt Unmengen von Protokollen die da gefahren werden - intern dürfte das Heimnetzwerk definitiv in fast allen Fällen bei 100-1000MBit/sec angekommen sein. Um da mal so ohne weiteres on the fly Daten auszuwerten ohne dass der User das mitbekommt dürfte normalerweise so ne mini CPU in so nem Router viel viel viel zu klein sein.
Kurzum - vorstellbar ja (mit Tricks) - praktisch aber eher nicht umsetzbar. Selbst das abfingern und externe Auswerten geht nur bedingt, da meist der Upload (bei asymetrischen Verbindungen) ja sehr schmal ist...
 
Mal ne Frage: Wenn der "Virus" auf HTTP weiterleitet (sozusagen vorgaukelt dass es HTTPS nicht unterstützt) sehe ich das auch im Browserfenster? Oder ist die weiterleitung nur "einseitig"? (Geht das Überhaupt?)
Das wäre ja eigentlich ein sicheres Zeichen dass ein Router befallen ist - Seiten die vorher immer HTTPS waren sind nun nur noch mit HTTP aufrufbar. Irre ich mich?
 
Raijin schrieb:
Um vom Router aus in die Datenverarbeitung des internen Switches reinzugucken, gehört schon einiges, da das wie gesagt weitestgehend ein autarkes Bauteil ist, das Verteilen der Pakete passiert also in dem Switch-Chip, hardwaremäßig. Die CPU des Routers hat damit grundsätzlich nix am Hut.
Zum Vergrößern anklicken....

So wirklich viel gehört da nicht zu - man (als Angreifer eingenistet im Router) sendet einfach auf jegliche ARP Anfragen im Netz (die so oder so reinkommen, weil per Broadcast ins LAN gebrüllt) seine eigene MAC zurück -> und wenn man nicht all zu viel Pech hat kommt die Antwort schneller am Anfragenden an als die des eigentlichen Ziels. Damit der User das nicht merkt leitet man den eingehenden Traffic dann noch weiter zum eigentlichen Ziel und fertig... -> jeglicher Traffic zwischen Client und Ziel geht über den kompromittierten Router.

Mal ins "Blaue":
https://www.heise.de/security/artikel/Schnellstart-mit-Kali-Linux-2209798.html?seite=all
 
zonediver schrieb:
Cool... die letzte Firmware für den Linksys E4200 ist von 2014(!)
...den kann man dann nur wegwerfen oder nicht mehr als Router nutzen... Dreckskastln, Drecksfirma! :freak:
Zum Vergrößern anklicken....

DD-WRT
Auf eingene Gefahr, aber vermutlich die bessere Alternative als die Kiste zu entsorgen.
 
Na prima habe selbst einen ASUS wenn auch keines der hier gelisteten Modelle. Und da ist die Firmware schon die aktuellste.
Wie gehe ich jetzt sicher das bei mir nichts infiziert ist?
 
dominiczeth schrieb:
Mal ne Frage: Wenn der "Virus" auf HTTP weiterleitet (sozusagen vorgaukelt dass es HTTPS nicht unterstützt) sehe ich das auch im Browserfenster? Oder ist die weiterleitung nur "einseitig"? (Geht das Überhaupt?)
Das wäre ja eigentlich ein sicheres Zeichen dass ein Router befallen ist - Seiten die vorher immer HTTPS waren sind nun nur noch mit HTTP aufrufbar. Irre ich mich?
Zum Vergrößern anklicken....

Nach dem Orginal Text von Cisco Talos wäre HTTPS wohl gar nicht betroffen - da davon dort nichts erwähnt wird. Sprich surfst du über HTTPS - bleibts bei HTTPS.
Anders wenn du bspw. Seiten hast, die unverschlüsselt angesprochen werden und wo irgendwo was von HTTPS drin auftaucht (bspw. nem Link auf ner Page) -> diese werden nach dem Text auf HTTP only umgeschrieben, sprich selbst wenn der Webserver nen Link auf HTTPS setzt, bei dir am Client kommt der Link in der Page als HTTP Link an, damit fragt dein Client wenn du den Link drückst nur HTTP an -> und der Router hört mit...


Zum Thema erkennen - Firefox und Chrome warnen ja bei unverschlüsselten Verbindungen seit geraumer Zeit - das sieht man also durchaus, wenn man möchte. Auch gibts Plugins (bspw. HTTPS everywhere) wo der Browser versucht jegliche Verbindungen primär auf HTTPS aufzubauen, selbst wenn "klein User" das nicht explizit angibt.
 
  • Gefällt mir
Reaktionen: dominiczeth
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frank
News 116 Modelle betroffen: Router-Botnetz aufgrund 5 Jahre alter UPnP-Lücke
3 4 5
Antworten
86
Aufrufe
12.909
tek9
T
Jan
News Router-Botnetz spähte über Jahre vertrauliche Daten aus
Antworten
16
Aufrufe
4.361
Autokiller677
Autokiller677
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz