20. Mai 2019, 18:00 Uhr | Lesezeit: 5 Minuten
Zehntausende Linksys-Router haben laut einem Report eine Schwachstelle, die Hackern einfachen Zugriff erlaubt. Das können Betroffene jetzt tun.
Immer wieder passiert es, dass Sicherheitsforscher Lücken in den Schutzsystemen von internetfähigen Routern finden. Doch nur selten passiert es, dass eine Sicherheitslücke bereits vor fünf Jahren gestopft wurde – aber weiterhin vorhanden ist. Genau das scheint nun jedoch Sicherheitsforscher Troy Mursch von dem Cyber-Security-Unternehmen Bad Packets Report herausgefunden zu haben.
Über 20.000 Router weltweit betroffen
Es handelt sich dabei um Router des Herstellers Linksys, der seit 2013 zu Belkin gehört. Laut der Untersuchung sind mehr als 20.000 Wifi-Router von der Sicherheitslücke betroffen. Die Router geben anscheinend ungefragt Listen weiter, die etwa Informationen über alle jemals verbundenen Geräte enthalten, darunter auch die Gerätenamen und -Nummern sowie das Betriebssystem. Das ermöglicht es Hackern, diese Geräte einfacher anzugreifen.
Mursch hat herausgefunden, dass auf Tausenden der Linksys-Routern weiterhin das Standard-Passwort aktiv ist, mit dem die Geräte ab Werk ausgeliefert werden. Bei den Routern ist standardmäßig der Fernzugriff (Remote Access) erlaubt, eine Funktion, die auch nicht einfach deaktiviert werden kann. Die Router können also einfach aus Ferne gesteuert werden und da das Standard-Passwort nicht geändert wurde, können der Name des Wifi-Netzwerk (SSID) und das Passwort in Volltext ausgelesen werden. Diese Linksys-Router sind laut der Analyse betroffen:
| Modellnummer | Beschreibung |
| E1200 | Linksys E1200 |
| E4200 | Simultaneous Dual-Band Wireless-N Gigabit Router |
| EA2700 | Simultaneous Dual-Band Wireless-N Gigabit Router |
| EA2750 | Simultaneous Dual-Band Wireless-N Gigabit Router |
| EA3500 | Simultaneous Dual-Band Wireless-N Gigabit Router |
| EA4500 | Simultaneous Dual-Band Wireless-N Gigabit Router |
| EA5800 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA6100 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA6200 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA6300 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA6350 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA6400 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA6500 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA6700 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA6900 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA7300 | Max-Stream AC1750 MU-MIMO GIGABIT ROUTER |
| EA7400 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA7500 | Max-Stream AC1900 MU-MIMO GIGABIT ROUTER |
| EA8100 | Max-Stream AC2600 MU-MIMO GIGABIT ROUTER |
| EA8300 | Linksys AC2200 MU-MIMO Gigabit Tri-Band Router |
| EA8500 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| EA9200 | Linksys AC3200 Tri-Band Smart Wi-Fi Router |
| EA9300 | Linksys MAX-STREAM AC4000 MU-MIMO Tri-Band Router |
| EA9400 | Linksys MAX-STREAM AC4000 MU-MIMO Gigabit Router |
| EA9500 | Linksys MAX-STREAM AC4000 MU-MIMO Gigabit Router |
| WRT1200AC | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| WRT1900AC | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| WRT1900ACS | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| WRT3200ACM | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| XAC1200 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| XAC1900 | Simultaneous Dual-Band Wireless-AC Gigabit Router |
| WHW01 | Velop |
| WHW03 | Velop |
Damit können Hacker sich Administratorzugang verschaffen und auf Systemfunktionen des Routers zugreifen. Unter anderem ist es ihnen dann möglich, die Domain-Name-System-Einstellungen, kurz DNS, zu ändern. Danach müssen sie nur einen bösartigen Server einzuschieben, über den der komplette Traffic umgeleitet wird. Abgesehen davon gibt es noch viele weitere Eingriffsmöglichkeiten vom Durchbrechen der Router-Firewall bis zum Ausschalten des Routers selbst.
Hacker können die Daten für Angriffe nutzen
Das Problem ist natürlich, dass man normalerweise nicht davon ausgeht, dass der eigene Router diese Informationen einfach an jeden, der daran interessiert ist, weitergibt. Anhand dieser Informationen ist es möglich, Profile und Bewegungsmuster für jedes der Geräte, die in Kontakt mit dem Router waren, zu erstellen. Da die Media-Access-Control-Adressen – oder MAC-Adressen, das sind einzigartige Nummer, mit denen sich jedes Gerät in einem Netzwerk eindeutig identifizieren lässt, bekannt sind, können Hacker dann gezielt Geräte ins Visier nehmen. Mit ingesamt über 750.000 einzigartige MAC-Adressen von Geräten aus, die mit den Routern verbunden wurden, ist das eine echte Goldgrube.Ein gutes Beispiel für den Nutzen von diesen so gewonnenen Zielen ist der Shadowhammer-Virus, der von Hackern über die ASUS-Server auf etwa 600 MAC-Adressen verteilt wurde. Mehr Informationen darüber finden Sie in unserem Artikel zum Thema.
Laut Mursch sind die meisten betroffenen Router in den USA zu finden, in Europa ist Russland mit 255 und die Niederlande mit 203 Geräten vertreten, Deutschland hingegen kommt auf gerade einmal 22.
Auch interessant: Was Sie aktuell zum Routerzwang wissen müssen
Ratgeber Worauf man beim Kauf eines WLAN-Repeaters achten sollte
Es muss nicht immer AVM sein Die besten Fritzbox-Alternativen für jeden Geldbeutel
Alle aktuellen Geräte betroffen Neue Sicherheitslücke bei Fritzbox
Laut Linksys ist die Sicherheitslücke längst geschlossen
Überraschend an der Sicherheitslücke ist vor allem, dass Linksys bereits vor fünf Jahren einen Patch für seine Router bereitgestellt hatte, der das Problem lösen sollte. Trotz der erneuten Entdeckung, die von Bad Packets als „CVE-2014-8244“ bezeichnet wird, bestreitet Linksys deren Existenz und verweist darauf, dass diese mit dem Patch vor fünf Jahren geschlossen wurde.
Immerhin scheint Linksys die Vorwürfe ernst zu nehmen. Das Unternehmen war laut dem Statement jedoch nicht in der Lage, Murschs Ergebnisse zu reproduzieren:
Wir haben umgehend alle von Bad Packets gekennzeichneten Router mit der aktuellen Firmware getestet (mit den Standardeinstellungen) und waren nicht in der Lage, CVE-2014-8244 zu reproduzieren; das bedeutet, dass ein Hacker per Fernzugriff keine sensible Informationen über diese Methode erhalten kann. (…) Wir glauben, dass es sich in den Beispielen von Bad Packets um Router handelt, die entweder ältere Firmwareversionen nutzen oder bei denen die Firewalls manuell deaktiviert wurden. Wir ermutigen die Kunden dazu, ihre Router auf die neueste Firmware zu aktualisieren und die Sicherheitseinstellungen zu überprüfen, um sicherzugehen, dass die Firewall aktiv ist.
Da Bad Packets den Fehler in Linksys‘ aktueller Firmware vermutet, könnte die Sicherheitslücke auf über 14.000 Routern, auf welchen automatische Firmwareupdates eingestellt sind, per Sicherheitspatch geschlossen werden. Nutzer müssen sich also gedulden, oder sich nach alternativen Betriebssystemen für ihre Router umschauen. Mit Drittanbieter-Firmware wie etwa dem kostenlosen OpenWrt kann der Fernzugriff deaktiviert und das Datenleck somit geschlossen werden.
Wenn die Vorwürfe, die Mursch gegen Linksys erhebt, tatsächlich der Wahrheit entsprechen, hat Linksys ein echtes Problem. Normalerweise ist es im Falle einer Sicherheitslücke ratsam, den Sicherheitspatch des Herstellers zu installieren. Da dieser nun aber anscheinend doch nicht die Lücke schließt, muss Linksys rigoros nach Fehlern suchen und gegebenenfalls ein Update an alle betroffenen Router ausliefern. Falls Sie einen betroffenen Linksys-Router besitzen, rate ich dazu, das Risiko nicht einzugehen und ein anderes Gerät zu benutzen.
