Erstellt am: 19. 1. 2014 - 17:14 Uhr
Böse Hintertür in Haushaltsroutern
Die Ende Dezember in mehreren Routern entdeckte Hintertür ist viel weiter verbreitet, als anfangs angenommen. Inzwischen ist dieselbe Sicherheitslücke bei mehr als 30 Routermodellen der Firmen Cisco, Linksys und Netgear nachgewiesen. Auch in Österreich ist eine unbekannte Zahl von kleineren Firmen, Anwaltsbüros und Haushalten betroffen, die über diese Geräte mit dem Internet verbunden sind.
Mit ziemlicher Wahrscheinlichkeit wurde diese Hintertür nicht von der NSA platziert, sondern von der Marketingabteilung einer Firma aus Taiwan, die diese Geräte im Auftrag dieser Firmen gefertigt hat. Erschreckend daran ist, dass diese Hintertür bereits seit 2003 existiert und sich zehn Jahre lang auf immer mehr Modelle ausgeweitet hat. (Details weiter unten).
Der ominöse Port 32764
Abhilfe gegen diese Sicherheitslücke gibt es nicht, denn über die Administrationsoberfläche der Firewall im Router lässt sich das Loch nicht schließen. Auch die Sperrung des ominösen Ports 32764 nützt nichts, weil die kleine Firewall im Router seitlich umgangen wird.
Wer nun gezielt an dieser Portnummer 32764 von außen mit einem kleinen Skript "anklopft" wird vom Router eingelassen, löst dort einen Neustart aus und ist dann Administrator, natürlich für das gesamte private Netz dahinter. Dieses Verhalten wurde von ORF.at an einem Cisco WRVS4400n nachgewiesen, das "Exploit" genannte Progrämmchen dafür ist im Netz seit Wochen verfügbar.
Eine erste, vorläufige Liste der kompromittierten Geräte wird vom Erforscher der Lücke samt Beschreibung und Exploit zur Verfügung gestellt. Für Tests, ob Port 32764 des eigenen Routers in Richtung Internet offensteht, stellt Heise.de dieses Online-Tool bereit
Gefahr durch Kriminelle steigt
Bisher wurden zwar nur sechs Typen entdeckt, die in Richtung Internet sperrangelweit offenstehen. Die überwiegende Mehrzahl ist nur intern anzugreifen, was aber keine Entwarnung ist. Wenn jeder Benutzer im Netz etwa einer Anwaltskanzlei - inklusive WLAN - über eine simple Befehlseingabe zum Firewall-Administrator wird, dann genügt auch ein einziger mit Schadsoftware verseuchter, interner Rechner, um das gesamte Netzwerk einem externen Angreifer auszuliefern.
Seit Anfang Jänner steigt die Wahrscheinlichkeit dafür, zumal das Einbruchswerkzeug - der Exploit - schon im Netz vorhanden ist. Gefahr droht hier weit weniger von der NSA, sondern von Kriminellen, die hier lohnende und vor allem ahnungslose Ziele vor sich haben.
Das Sercomm-Rätsel
Bis jetzt wird allerdings gerätselt, zu welchem Zweck diese Hintertüren eingebaut wurden und warum so viele Router in Richtung lokales Netzwerk offen sind aber so wenige nach außen ins Internet. Bekannt ist bereits, dass die betroffenen Router alle von der taiwanesischen Sercomm im Auftrag von Cisco und den anderen Unternehmen hergestellt wurden.
Ein Blick auf die drei eigenen Produkte von Sercomm zeigt, dass eines davon ein IP-basierendes Alarmanlagen-System ist, das aus Fenstersensoren, Webcams und Steuerungsmöglichkeiten für Haus- und Büroautomatisierung besteht. Die sind via WLAN mit dem "Sercomm Home Monitoring Gateway", einem internen WLAN-Router hinter der Firewall auf dem externen Router des Kunden angebunden, von dort aus geht es dann ins Internet.
Die Rolle von Port 32764
Ein solches Videoüberwachungssystem macht nur Sinn, wenn es über das Internet zugänglich ist. Wie die Grafik zeigt, loggt man sich auf einem Server von Sercomm ein und holt sich so die Videostreams aus dem überwachten Wohnhaus oder der Kanzlei von unterwegs.
Bleibt nun die Frage, wie bekommt man jene Steuerbefehle, die der Monitoring-Router etwa an die Heizungsregelung sendet und wie löst man das Streaming durch eine der Webcams von ferne aus? Dazwischen befindet sich ja die Firewall. Hier kommt nun der ominöse Port 32764 ins Spiel.
Das betreffende Produkt von Sercomm heißt ausgerechnet IP Surveillance & Home Security
Sercomm
Ist er in Richtung Internet offen, geht das natürlich einfach, die Befehle werden an der Firewall vorbei direkt an den internen "Sercomm Surveillance Router" weitergegeben, der die Webcams steuert. Wie aber soll das funktionieren, wenn dieser Port eben nicht nach außen offensteht wie bei der Mehrzahl der bisher identifizierten Geräte?
Das Loch in D-Link-Routern
Eine im Oktober bekannt gewordene Hintertür in einer Vielzahl von Routern der Firma D-Link zeigt, wie das funktioniert. Man braucht nur die IP-Adresse des Routers herausfinden, die ist im Internet klarerweise sichtbar. Die gibt man im Browser ein und hängt eine bestimmte Zeichenfolge in der Adresszeile des Browsers an. Der Angreifer wird dann direkt auf das Administrationsinterface weitergeleitet und hat auch eben diesen Rang.
Genau dieselbe Funktion zur "Fernadministration" hat auch die Sercomm-Hintertür, via Port 32764 lässt sich der Router neu starten und dann lauten die Zugangsdaten zum Router automatisch "admin/admin". Für alle Sercomm-Geräte, die nur Richtung lokales Netzwerk offen sind, muss es eine ähnliche Befehlsroutine geben, die noch nicht bekannt ist. Man klopft von außen mit einem Skript auf Port 80 an, der immer offensteht, weil der WWW-Verkehr darüber läuft und wird dann auf Port 32764 umgeroutet.
Das Reverse Engineering der Hintertür in D-Link-Routern
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/
Der Grund für die Obskurität
Im Fall von D-Link wurde diese Befehlsroutine für den Browser nur gefunden, weil die "Firmware" also das Betriebssystem des Routers aufwändig zerlegt wurde ("Reverse Engineering"). Im aktuellen Fall der Router von Cisco, Linksys und Netgear geschah das nicht, Entdecker Eloі Vanderbeke konzentrierte sich vielmehr darauf, möglichst viele Modelle verschiedener Hersteller zu testen, um die Verbreitung des Problems einzuschätzen.
Der ominöse Port 32746 wurde im erstmals 2003 in einem Support-Forum für Netgear-Router thematisiert
Das ist auch schon der Hauptgrund, warum dem seit 2003 bekannten Port 32764 nicht weiter nachgegangen wurde. "Reverse Engeneering" von nicht dokumentierter Hardware samt einem proprietären Betriebssystem verlangt gute Hardwarekenntnisse, ist noch dazu ungemein schwierig und sehr zeitaufwändig. Dazu kommt, dass es sich um Geräte handelt, mit denen der eigene Internetzugang steht und fällt. Auch risikobereite Hacker experimentieren deshalb selten mit Routern, die sie aktuell in Verwendung haben und obendrein ist der Spaßfaktor dabei sehr begrenzt.
Die NSA weiß Bescheid
Die NSA hingegen unterhält das weltweit größte Forschungslabor für solche Hardwaretests, in dem sämtliche neu auf den Markt gekommenen Geräte systematisch auf solche Hintertüren und andere Schwachstellen getestet werden.
Wie die NSA-Enthüllungen vom Dezember zeigen, verfügt der Geheimdienst über umfangreiche Listen mit Sicherheitslöchern von allen gängigen Routern. Man hat es also gar nicht nötig, selbst alle möglichen Geräte zu kompromittieren, wenn bereits vom Produzenten Hintertüren eingebaut wurden.
Für die sichere Konfiguration einer Firewall sperrt man alle Ports, die nicht benötigt werden, vor allem die exotischen im oberen Bereich ab 10.000 werden pauschal deaktiviert. Sodann fährt man zur Überprüfung noch einmal Scans, die in der Regel nur bis 10.000 gehen. Welche Dienste auf welchen TCP/IP-Ports aktiv sind zeigt diese Liste der TCP/IP ports
Während die Sicherheitslücke bei D-Link dem Hersteller ermöglichte, ohne Mitwirkung und Wissen des Kunden Softwareupdates auf seine Router aufzuspielen, ist bei Sercomm ein direktes finanzielles Motiv unübersehbar.
"Plug and Play" als Grund
Eine große Zahl von Routern, die vor Ort beim Kunden standen, waren schon fertig konfiguriert, um die Überwachungssysteme Sercomms dahinter anzuschließen. Das ist ein kaum zu überschätzender Marktvorteil gegenüber den vielen Mitbewerbern, wenn das eigene Produkt "Plug and Play" funktioniert, während die Überwachungsanlagen der Konkurrenz auf jedem Kundenrouter einzeln freigeschaltet werden müssen.
Rolle und Wissen von Cisco
Einen Anruf beim Support von Cisco kann man sich sparen. Im Fall des von ORF.at getesteten Modells WRVS4400n teilte der Cisco-Techniker in amüsiertem Tonfall mit, dass es weder technischen Support noch Software-Updates dafür geben werde, denn dieses Gerät werde ja bereits seit 2012 nicht mehr produziert. Dabei ist die Firma für die Sicherheitslücken in 15 der insgesamt 30 identifizierten Router direkt verantwortlich.
Wenn Cisco nichts von dieser gemeinen Backdoor wusste, dann wurden die Sercomm-Router von Cisco/Linksys jahrelang nicht auf ihre Sicherheit getestet. Im anderen Fall hatte man selbst einschlägige Marketingpläne, denn Cisco ist seit fünf Jahren selbst in diesem Geschäftsbereich aktiv.
2009 ist Cisco selbst in das neue Geschäftsfeld Hausüberwachung und -steuerung eingestiegen
Die Firma Linksys befand sich nämlich seit 2003 im Besitz des Weltmarktführers, vermarktet wurden die Geräte als "Linksys by Cisco" für kleine Unternehmen, Anwaltskanzleien und Home Offices. Das ist ein Marktsegment, das Cisco bis 2003 nicht bedient hatte. Im selben Jahr wurde die Rolle des ominösen Ports erstmals in einem Forum diskutiert. Im März 2013 hatte Cisco seine Linksys-Sparte und damit die Verantwortung komplett an Belkin abgestoßen.
Sicherheitsmaßnahmen, Elektronikschrott
Credits für technische Unterstützung bei diesem Artikel an Ioni Jonak und Markus Kainz von der quintessenz
Der kompromittierte Cisco WRVS4400n wird nun durch ein Skript auf einem lokalen Server auf Neustarts und Aktivitäten via Port 32764 permanent überwacht. Sobald wie möglich wird er seiner finalen Destination als Elektronikschrott dem örtlichen Mistplatze zugeführt. Ersetzen wird ihn ein Router, der mit dem freien Linuxbetriebssystem für Router OpenWRT funktioniert.