Neuer Angriff auf diverse Router-Modelle

Aktuelles rund um das Thema IT-Sicherheit
Antworten
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Neuer Angriff auf diverse Router-Modelle

Beitrag von NoG »

Am Samstag veroeffentlichte der IT-Sicherheitsexperte "Kafeine" einen Bericht über ein neues Exploit-Kit, mit dem sich zahlreiche Netzwerk-Router mehrerer Hersteller effektiv angreifen lassen.

Ziel des Angriffs ist es, Zugang zur Konfiguration des Routers zu erlangen, wo dann automatisiert ein DNS-Server eingetragen wird, der offenbar von den Drahtziehern manipuliert wird. Als Alternative wird noch ein von Google betriebener DNS-Server eingetragen, um möglicherweise auftretende Fehler, zum Beispiel durch Nichterreichbarkeit des manipulierten DNS-Servers, zu verschleiern.

Der Angriff erfolgt, wenn der Benutzer eine Website aufruft, in die das angreifende JavaScript eingebaut worden ist. Das Script ermittelt dann zunächst die interne IP-Adresse des Routers (das Gateway) und greift dann auf diesen zu, um so Hersteller und Modell zu erkennen, um ihn so gezielt angreifen zu koennen. Dabei werden dann einerseits Standardkombination fuer Benutzernamen und Kennwort von Routern sowie einige weitere sehr beliebte Kennwoerter ausprobiert, andererseits aber auch ganz gezielt bekannte Schwachstellen in der Firmware des Routers angegriffen.

Nach einem erfolgreichen Angriff waere es den Taetern beispielsweise moeglich, bei Aufruf der Website einer Bank auf eigene Server zu verweisen, die genau die Website der Bank wiedergeben, so dass ihnen der Benutzer nicht nur Zugangsdaten zu einem Online-Konto uebermittelt, sondern auch TANs fuer Ueberweisungen.

Mittels des F-Secure Router Checkers laesst sich einfach ueberpruefen, ob der gerade genutzte Router auffaellige DNS-Server nutzt. Hierzu einfach im oberen Bereich den "Start now"-Button anklicken und einen Moment warten. Unter "Details" werden dann die verwendeten DNS-Server angezeigt. Ueblicherweise sollten diese vom jeweiligen Internet-Provider betrieben werden.

Dies ist aber natuerlich nur eine momentane Diagnose und entbindet in keiner Weise davon, ein sicheres Kennwort in der Router-Konfiguration zu setzen und die Firmware des Routers aktuell zu halten. Sollte ein Router tatsaechlich als kompromittiert erkannt werden, so waere es aber keinesfalls damit getan, wieder die korrekten DNS-Server einzutragen, da zu dem Zeitpunkt auch die Firmware des Routers bereits veraendert worden sein koennte.


Hier die Liste der angegriffenen Router mit dem Stand vom 18.05.2015 - die aber mit Sicherheit in Zukunft weiter anwachsen wird:

ASUS AC68U
ASUS RTN56U & ASUS RTN10P & ASUS-RTN66U & ASUS-RT56-66-10-12
ASUS-RTG32
BELK-PHILIPS (?)
BELKIN F5D7230-4
BELKIN F5D8236-4V2
BELKIN F9k1105V2
BELKIN-F5D7231-4
BELKIN-F5D7234-4
D'LINK DIR-600
D'LINK DIR-604
D'LINK DIR-645
D'LINK DIR-810L & DIR-826L & DIR-615 & DIR-651 & DIR-601 & WBR1310 & D2760
D'LINK DSLG604T
D'LINK-DIR-2740R
EDIMAX BR6208AC
LINKSYS BEFW11S4 V4
LINKSYS L120
LINKSYS WRT54GSV7
LINKSYS-BEFW11S4 V4
LINKSYS-LWRT54GLV4
LINKSYS-WRT54GV8
LINKSYS-X3000
LINSYS L000
Medialink WAPR300N
Microsoft MN-500
NETGEAR DGN1000B & DG834v3 & DGN2200
NETGEAR WNDR3400
NETGEAR-DGN1000 & NETGEAR-DGN2200
NETGEAR-WNR834Bv2
NETGEAR-WPN824v3
NETIS WF2414
Netis WF2414
TENDA 11N
TPLI ALL
TPLI-WR940N & WR941ND & WR700
TRENDNET E300-150
TRIP-TM01
TRIP-TM04
Trendnet TW100S4W1CA
ZYXEL MVR102
ZYXEL NBG416
ZYXEL-NBG334W
We have bugs the likes of which even God has never seen!
Tracy
Beiträge: 138
Registriert: Fr 12. Sep 2014, 13:26
Betriebssystem: Windows 10
Virenscanner: Avira Pro
Wohnort: In Memory an meinen Bruder + 31.12.2014

Re: Neuer Angriff auf diverse Router-Modelle

Beitrag von Tracy »

Danke für den Link :perfekt: Bei mir ist dahingehend alles OK.
Benutzeravatar
klausi1944
Beiträge: 2263
Registriert: So 24. Aug 2014, 19:02
Betriebssystem: Win 8.1 64 bit Bing, Windows 10, Version 21H1x64
Virenscanner: Windows Defender
Wohnort: Sachsen, Geburtsort Adelsberg

Re: Neuer Angriff auf diverse Router-Modelle

Beitrag von klausi1944 »

Habe gleich den PC getestet, alles ok. Danke NoG, den Läppi werde ich heute abend testen.
Redet einer schlecht von dir - sei´s ihm erlaubt,
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neuer Angriff auf diverse Router-Modelle

Beitrag von NoG »

Da wird letztlich nicht der PC, sondern der Router getestet. Wenn die also beide ueber den gleichen Router laufen kannst Du Dich jetzt schon entspannt zuruecklehnen.
We have bugs the likes of which even God has never seen!
Benutzeravatar
klausi1944
Beiträge: 2263
Registriert: So 24. Aug 2014, 19:02
Betriebssystem: Win 8.1 64 bit Bing, Windows 10, Version 21H1x64
Virenscanner: Windows Defender
Wohnort: Sachsen, Geburtsort Adelsberg

Re: Neuer Angriff auf diverse Router-Modelle

Beitrag von klausi1944 »

Naja, entschuldige NoG, meinte ich ja auch.
Trotzdem am Läppi probiert und da kam: "Ist alles gut. Ich wünsche dir einen schönen Tag! "
Redet einer schlecht von dir - sei´s ihm erlaubt,
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Neuer Angriff auf diverse Router-Modelle

Beitrag von NoG »

Kein Grund sich zu entschuldigen!
We have bugs the likes of which even God has never seen!
Benutzeravatar
Mike
Beiträge: 194
Registriert: Di 7. Okt 2014, 11:05
Betriebssystem: Windows 10-64bit
Virenscanner: Windows-Defender
Wohnort: Hessen

Re: Neuer Angriff auf diverse Router-Modelle

Beitrag von Mike »

Auch bei mir alles im grünen Bereich, aber ich habe ja auch eine Fritzbox die ja sowieso nicht betroffen war. ;)
Antworten