News 30.01.2013, 14:29 Uhr

Millionen Router haben Sicherheitsloch

Sicherheitsexperten warnen vor einer ernsten Sicherheitslücke in Universal Plug and Play (UPnP). Bis zu 50 Millionen Netzwerkgeräte sollen weltweit betroffen sein.
Mit Universal Plug and Play (UPnP) kann man Router, Drucker und andere Hardware bequem über ein Netzwerk ansteuern und die Geräte können darüber miteinander kommunizieren. Doch diese Bequemlichkeit hat ihren Preis: Hacker können UPnP für einen Angriff ausnutzen, wenn in UPnP eine Sicherheitslücke steckt. Genau das ist nun der Fall, wie das Sicherheitsunternehmen Rapid7 entdeckt hat.
50 Millionen Geräte betroffen
Die von Rapid7 beschriebene Sicherheitslücke in UPnP kann man folgendermassen zusammenfassen: Das Sicherheitsunternehmen führte im Jahr 2012 einen umfassenden IP-Scan durch. Und entdeckte dabei, dass sich bis zu 50 Millionen UPnP-fähige Netzwerkgeräte (Drucker, Router IP-Kameras, aber auch internetfähige Fernseher) mit einem speziellen Datenpaket manipulieren lassen, das ein Angreifer über das Internet schicken kann. Damit kann ein Hacker seinen Code einschleppen und im schlimmsten Fall über das jeweilige Netzwerkgerät in das lokale Netzwerk eindringen beziehungsweise das betroffene Gerät ausser Gefecht setzen.
Ob ein Netzwerkgerät von den Sicherheitslücken (es handelt sich gleich um mehrere Lücken, abhängig von der konkreten Version der für die UPnP-Funktionen verwendeten Entwicklerkits) betroffen ist, hängt davon ab, ob ein Gerät UPnP unterstützt, auf UPnP-Anfragen aus dem Internet antwortet und dazu noch eine verwundbare UPnP-Bibliothek verwendet. Es ist also nicht zwangsläufig jedes UPnP-fähige Netzwerkgerät von dem Problem betroffen.
Betroffen sich UPnP-fähige Geräte zahlreicher Hersteller wie Cisco, D-Link, Fujitsu und Huawei, um nur einige Beispiele zu nennen. Eine Liste der betroffenen Hersteller finden Sie hier.
In den aktuellen Versionen der UPnP-Bibliotheken sind die Lücken zwar schon beseitigt. Doch Millionen ältere Geräte hängen eben noch im Netz und erhalten keine Firmware-Updates mehr, weil sie von den Herstellern nicht mehr weiter unterstützt werden. Diese Geräte sind dann wehrlos.
So schützen Sie sich
Im Idealfall führen Sie ein Firmware-/Software-Update durch und aktualisieren so die betroffenen Bibliotheken. Dafür sind Sie aber darauf angewiesen, dass der Gerätehersteller ein Firmware-Update bereitstellt. Deshalb dürfte in den meisten Fällen die Sicherheitsmassnahme darin bestehen, dass Sie UPnP abschalten, sofern das möglich ist. Oder in Ihrer Firewall den entsprechenden Port blockieren, damit von aussen kein Zugriff mehr möglich ist.
Rapid7 stellt ein kostenloses Windows-Tool zum Download bereit, mit dem Sie prüfen können, ob Ihre Netzwerkgeräte von dem Problem betroffen sind.



Kommentare
Avatar
Milan-48
28.02.2013
Router mit Leck Ich bin ebenso erstaunt, dass dieses Problem erst jetzt behandelt wird, aber besser als nie. Ich habe das Programm von Rapid7 laufen lassen, bin aber nicht viel schlauer geworden als vorher. Es kamen keine rote Ausrufzeichen, aber das Fachchinesisch auf englisch ist für mich nicht ganz verständlich. Danach habe ich probiert neue Firmware für mein Kabelmodem/Router zu finden(Thomson TWG 870), aber ohne Erfolg. Werde wohl weitermachen wie bisher. Er überrascht mich, dass im Forum bisher niemand geschrieben hat.

Avatar
gucky62
28.02.2013
Danach habe ich probiert neue Firmware für mein Kabelmodem/Router zu finden(Thomson TWG 870), aber ohne Erfolg. Werde wohl weitermachen wie bisher. Er überrascht mich, dass im Forum bisher niemand geschrieben hat. Kabelmodems werden in der Regel ausschliesslich vom Kabel ISP verwaltet und mit neuer Firmware gefüttert. Diese kann auch Anbieter-Spezifisch sein. Der Kunde kann diese meines Wissens nicht selbst aktualisieren, da diese zentral vom ISP verwaltet udn konfiguriert werden. Plus kann der Kunde bei diversen Geräten noch ein paar eigene Konfigurationen machen. FW Update denke ich aber nicht. Ich vermute mal das Modem wird am Cablecom Netz betrieben? Dafür ist dann auch die CC zuständig. Ggf mal den Support dort kontaktieren. Gruss Daniel

Avatar
Milan-48
03.03.2013
Hallo Daniel danke für die Infos. Gruss Milan

Avatar
Klondyke
10.03.2013
Router Netgear WNDR 4500 Ich frage mich, wieso wir erst jetzt darüber lesen. Sicherheitsexperten beäugen UPnP schon seit Jahren kritisch und raten seit jeher, den Dienst auszuknipsen, sofern man ihn nicht unbedingt braucht. Dennoch überrascht es etwas, dass eine Lücke dieses Ausmasses erst jetzt zu Tage tritt. Mein Tipp: Auch wenn es für die BesitzerInnen betroffener Geräte lästige Recherchen erfordert: Macht bei euren Routern, Webcams, NAS und weiteren Netzwerkgeräten die genauen Typennummern ausfindig und sucht auf den Webseites von deren Herstellern nach einem Firmwareupdate. Sehr geehrte Frau Salvisberg Ich habe den Test gemacht. Ich verstehe nur Bahnhof. Ich sende Ihnen den Test als Anhang. Vielleicht können Sie mir mal verdeutschen, was das alles bedeutet. Sicherheitslücke ja oder nein? MfG. E.M

Avatar
Rungard
10.03.2013
Guten Abend Klondyke Ich denke, du hast das Programm heruntergeladen, um den Test zu machen. Probiers doch einfach mal über diese Rapid7 Online Check Seite. Das Resultat bekommst du nach ca. 30 Sekunden und ist recht eindeutig :) Greez, Rungard

Avatar
yukon59
24.03.2013
Sehr geehrte Frau Salvisberg Ich habe den Test gemacht. Ich verstehe nur Bahnhof. Ich sende Ihnen den Test als Anhang. Vielleicht können Sie mir mal verdeutschen, was das alles bedeutet. Sicherheitslücke ja oder nein? MfG. E.M Hallo Klondyke, Bei Deinem Screen Shot fehlt die letzte Zeile "Result Details". Dort steht eine IP, die Deines Routers. Aus meiner Sicht sieht alles gut aus !

Avatar
yukon59
24.03.2013
Kabelmodems werden in der Regel ausschliesslich vom Kabel ISP verwaltet und mit neuer Firmware gefüttert. Diese kann auch Anbieter-Spezifisch sein. Der Kunde kann diese meines Wissens nicht selbst aktualisieren, da diese zentral vom ISP verwaltet udn konfiguriert werden. Plus kann der Kunde bei diversen Geräten noch ein paar eigene Konfigurationen machen. FW Update denke ich aber nicht. Ich vermute mal das Modem wird am Cablecom Netz betrieben? Dafür ist dann auch die CC zuständig. Ggf mal den Support dort kontaktieren. Gruss Daniel Hallo Milan-48, Bin aus Zufall hier gelandet. Ich würde den Thomson 870 nicht verwenden da nur die Cablecom dieses Gerät verwalten kann. Für einen Router wäre mir das unsympatisch. Du kannst bei UPC ein UBee Modem verlangen (Gratis). Geht bis 100 MBit. Den Router kaufst Du dann selbst und hast diesen auch unter Kontrolle. Siehe dazu auch meinen Kommentar im cablecom Forum. http://community.upc-cablecom.ch/posts/c49dab4949

Avatar
jodelboy
24.03.2013
Naja, Router sind nicht wegen per UPnP verwundbar.. Wen's interessiert: Hier ein super "Vortrag" mit Live-Demonstration, wie man mit DNS-Rebinding in die Konfiguration eines fremden Routers gelangt. ;) Btw, hier noch ein superlustiges Vid von Defcon 18 :D http://www.youtube.com/watch?v=U4oB28ksiIo "Pwned by the owner - What happens if you steal a hacker's machine"

Avatar
Coquin
13.05.2013
Sicherheitsloch Guten Abend Klondyke Ich denke, du hast das Programm heruntergeladen, um den Test zu machen. Probiers doch einfach mal über diese Rapid7 Online Check Seite. Das Resultat bekommst du nach ca. 30 Sekunden und ist recht eindeutig :) Greez, Rungard Danke für die Adresse. Funktionierte super und ich habe eine weisse Weste oder Router