Am Samstag veroeffentlichte der IT-Sicherheitsexperte "Kafeine" einen Bericht über ein neues Exploit-Kit, mit dem sich zahlreiche Netzwerk-Router mehrerer Hersteller effektiv angreifen lassen.
Ziel des Angriffs ist es, Zugang zur Konfiguration des Routers zu erlangen, wo dann automatisiert ein DNS-Server eingetragen wird, der offenbar von den Drahtziehern manipuliert wird. Als Alternative wird noch ein von Google betriebener DNS-Server eingetragen, um möglicherweise auftretende Fehler, zum Beispiel durch Nichterreichbarkeit des manipulierten DNS-Servers, zu verschleiern.
Der Angriff erfolgt, wenn der Benutzer eine Website aufruft, in die das angreifende JavaScript eingebaut worden ist. Das Script ermittelt dann zunächst die interne IP-Adresse des Routers (das Gateway) und greift dann auf diesen zu, um so Hersteller und Modell zu erkennen, um ihn so gezielt angreifen zu koennen. Dabei werden dann einerseits Standardkombination fuer Benutzernamen und Kennwort von Routern sowie einige weitere sehr beliebte Kennwoerter ausprobiert, andererseits aber auch ganz gezielt bekannte Schwachstellen in der Firmware des Routers angegriffen.
Nach einem erfolgreichen Angriff waere es den Taetern beispielsweise moeglich, bei Aufruf der Website einer Bank auf eigene Server zu verweisen, die genau die Website der Bank wiedergeben, so dass ihnen der Benutzer nicht nur Zugangsdaten zu einem Online-Konto uebermittelt, sondern auch TANs fuer Ueberweisungen.
Mittels des F-Secure Router Checkers laesst sich einfach ueberpruefen, ob der gerade genutzte Router auffaellige DNS-Server nutzt. Hierzu einfach im oberen Bereich den "Start now"-Button anklicken und einen Moment warten. Unter "Details" werden dann die verwendeten DNS-Server angezeigt. Ueblicherweise sollten diese vom jeweiligen Internet-Provider betrieben werden.
Dies ist aber natuerlich nur eine momentane Diagnose und entbindet in keiner Weise davon, ein sicheres Kennwort in der Router-Konfiguration zu setzen und die Firmware des Routers aktuell zu halten. Sollte ein Router tatsaechlich als kompromittiert erkannt werden, so waere es aber keinesfalls damit getan, wieder die korrekten DNS-Server einzutragen, da zu dem Zeitpunkt auch die Firmware des Routers bereits veraendert worden sein koennte.
Hier die Liste der angegriffenen Router mit dem Stand vom 18.05.2015 - die aber mit Sicherheit in Zukunft weiter anwachsen wird:
ASUS AC68U
ASUS RTN56U & ASUS RTN10P & ASUS-RTN66U & ASUS-RT56-66-10-12
ASUS-RTG32
BELK-PHILIPS (?)
BELKIN F5D7230-4
BELKIN F5D8236-4V2
BELKIN F9k1105V2
BELKIN-F5D7231-4
BELKIN-F5D7234-4
D'LINK DIR-600
D'LINK DIR-604
D'LINK DIR-645
D'LINK DIR-810L & DIR-826L & DIR-615 & DIR-651 & DIR-601 & WBR1310 & D2760
D'LINK DSLG604T
D'LINK-DIR-2740R
EDIMAX BR6208AC
LINKSYS BEFW11S4 V4
LINKSYS L120
LINKSYS WRT54GSV7
LINKSYS-BEFW11S4 V4
LINKSYS-LWRT54GLV4
LINKSYS-WRT54GV8
LINKSYS-X3000
LINSYS L000
Medialink WAPR300N
Microsoft MN-500
NETGEAR DGN1000B & DG834v3 & DGN2200
NETGEAR WNDR3400
NETGEAR-DGN1000 & NETGEAR-DGN2200
NETGEAR-WNR834Bv2
NETGEAR-WPN824v3
NETIS WF2414
Netis WF2414
TENDA 11N
TPLI ALL
TPLI-WR940N & WR941ND & WR700
TRENDNET E300-150
TRIP-TM01
TRIP-TM04
Trendnet TW100S4W1CA
ZYXEL MVR102
ZYXEL NBG416
ZYXEL-NBG334W
Neuer Angriff auf diverse Router-Modelle
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
-
- Beiträge: 138
- Registriert: Fr 12. Sep 2014, 13:26
- Betriebssystem: Windows 10
- Virenscanner: Avira Pro
- Wohnort: In Memory an meinen Bruder + 31.12.2014
- klausi1944
- Beiträge: 2263
- Registriert: So 24. Aug 2014, 19:02
- Betriebssystem: Win 8.1 64 bit Bing, Windows 10, Version 21H1x64
- Virenscanner: Windows Defender
- Wohnort: Sachsen, Geburtsort Adelsberg
Re: Neuer Angriff auf diverse Router-Modelle
Habe gleich den PC getestet, alles ok. Danke NoG, den Läppi werde ich heute abend testen.
Redet einer schlecht von dir - sei´s ihm erlaubt,
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neuer Angriff auf diverse Router-Modelle
Da wird letztlich nicht der PC, sondern der Router getestet. Wenn die also beide ueber den gleichen Router laufen kannst Du Dich jetzt schon entspannt zuruecklehnen.
We have bugs the likes of which even God has never seen!
- klausi1944
- Beiträge: 2263
- Registriert: So 24. Aug 2014, 19:02
- Betriebssystem: Win 8.1 64 bit Bing, Windows 10, Version 21H1x64
- Virenscanner: Windows Defender
- Wohnort: Sachsen, Geburtsort Adelsberg
Re: Neuer Angriff auf diverse Router-Modelle
Naja, entschuldige NoG, meinte ich ja auch.
Trotzdem am Läppi probiert und da kam: "Ist alles gut. Ich wünsche dir einen schönen Tag! "
Trotzdem am Läppi probiert und da kam: "Ist alles gut. Ich wünsche dir einen schönen Tag! "
Redet einer schlecht von dir - sei´s ihm erlaubt,
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
doch du, du lebe so, dass keiner es ihm glaubt. (Volksgut)
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neuer Angriff auf diverse Router-Modelle
Kein Grund sich zu entschuldigen!
We have bugs the likes of which even God has never seen!
- Mike
- Beiträge: 194
- Registriert: Di 7. Okt 2014, 11:05
- Betriebssystem: Windows 10-64bit
- Virenscanner: Windows-Defender
- Wohnort: Hessen
Re: Neuer Angriff auf diverse Router-Modelle
Auch bei mir alles im grünen Bereich, aber ich habe ja auch eine Fritzbox die ja sowieso nicht betroffen war.