E-Mail-Anhänge hacken Router

30. November 2012, 10:32
  • Zahlreiche Router können angegriffen werden, weil die User die Default-Passwörter nicht ändern
    foto: apa

    Zahlreiche Router können angegriffen werden, weil die User die Default-Passwörter nicht ändern

Sicherheitsforscher hat Angriffe mit Bildern in E-Mails getestet

Wie der Sicherheitsforscher Bogdan Calin auf seiner Website schreibt, gibt es eine Vielzahl an Routern von Arcor, Asus und TP-Link, die sehr anfällig für Angriffe sind. Wie Heise aufgreift, kann das bloße Anzeigen einer Mail dazu führen, dass diese Router fernkonfiguriert werden. 

Abgreifen von Zugangsdaten

Ein Testmail, das Calin präpariert hat, konfiguriert beim Öffnen des Anhangs den WLAN-Router neu. Dabei wird der gesamte Datenverkehr umgeleitet. Angegriffene könnten dann auf Phishing-Versuche reinfallen, indem sie beispielsweise auf bösartige Versionen von Seiten wie Facebook gelockt werden. Dort werden dann Zugangsdaten abgegriffen. 

Admin-Passwort

In diesem präparierten Mail hat Calin Bilder eingebettet, deren Quelle ("src") auf die Standard-IP des Routers zeigt. Diese URL enthält Anweisungen für das Webinterface des Routers und verändert die zuvor eingestellten DNS-Server. Ebenfalls in der URL ist das Default-Admin-Passwort für das Webinterface, sofern es nicht zuvor geändert wurde. 

Geänderte DNS-Einstellungen

Will der Angegriffene also das Bild öffnen, versucht der Mailclient das Bild unter der angegebenen URL zu finden, in Wirklichkeit verändert die URL allerdings die DNS-Einstellungen. Danach laufen Abfragen über die neuen DNS-Server, die vom Angreifer kontrolliert werden. Getestet hat Calin das Mail mit den Standard-Anwendungen in iOS und Mac OS X. Er empfiehlt in iOS die Einstellung "Entfernte Bilder laden" abzustellen. 

Passwort ändern

Die betroffenen Geräte sind die Asus-Router RT-N16 und RT-N56U, der T-Link-Router TL-WR841N und der Arcor EasyBox A600. Es ist allerdings nicht auszuschließen, dass auch andere Router kompromittiert werden können, weshalb eine Änderung des Default-Passworts im Router-Interface ein guter Schutz gegen diese Mails und ähnlich präparierte Websites ist. (red, derStandard.at, 30.11.2012)

Share if you care
Posting 1 bis 25 von 35
1 2

Na gut wer das standard Passwort im Router nicht ändert hats nicht besser verdient.

Ist nur blöd für die vielen A1 Kunden mit dem Pirelli oder Thomson Routern. Alle Einstellungen gleich, nicht veränderbar (außer man spielt alternative config usw. auf).

Und die haben seit Ewigkeiten das selbe root passwort

Das da noch niemand auf schlimme Gedanken gekommen ist^^

Der root-User wurde bei den A1-Pirellis schon seit geraumer Zeit weggepacht, d.h. es gibt ihn garnicht mehr. Es gibt allerings noch den user "Admin" der ein "Super-User" ist und dessen Passwort man auch ändern kann und sollte.

Die größte Sicherheitslücke sitzt halt weiterhin vor dem Bildschirm mit den Händen an der Tastatur...

Ziemlich geniale Idee ;o)

Ziemlich nett

Anscheinend wird das Username/Passwort zu den Kistln als GET-Parameter übergeben und ist damit auch von jedem lesbar, der einem über die Schulter schaut...

Bilder in E-Mails

scheinbar handelt es sich nicht um Bilder in der Mail, sondern um ein <img>-Element, welches zum Nachladen von Bildern gedacht ist.

In diesem Fall wird halt kein Bild geladen, sondern ein HTTP-Request an den Router gesendet. Die Einfachste Lösung dürfte das Ändern der Standard-IP und der Standard-Benutzerdaten des Routers/Modems sein.

O.T.: ...das wird ein Spaß...

... wenn IP-V6 Geräte in Massen auf dem Markt sind - da wirds Sicherheitslücken ohne Ende geben - und Tricks die bei IP-V4 gar nicht denkbar sind/waren...

Ich denk da zum Beispiel an Anycast-Adressen: Einfach als erster zugreifen - ob manns braucht oder nicht..Autokonfiguration, Neighbor Discovery Protocol und Co. werden sicherlich auch "kreativer" verwendet werden können - irgendeiner wird schon was finden..
Intern bleib ich auf v4 ... so oldschool das jetzt auch klingen mag...

Intern bleib ich auf v4 ...

Gibt´einen Grund für einen Wechsel des internen Netzwerkes auf v6?
Ich bin kein Fachmann, aber ich wage zu behaupten dass die mögliche Geräteanzahl von v4 bei privaten Anwendern mittelfristig ausreichend sein wird.

Abgesehen vom default Passwort - ist's nicht ein bissl eine komische Idee, die Konfigurationsaenderungen mittels GET auszufuehren?

Per JS POST-Formular erzeugen, per JS abschicken.

viele machen das schon so auf "ajax style"

Wobei wenn mans streng nimmt dann vmtl. z.B. Google bei jeder Suchanfrage (per GET) auch dagegen verstosst: Die werten doch sicher jeden Scheiss aus und verarbeitens irgendwie weiter - also nix mit "nur retrieval".

Najo aber xmlhttprequest kann ja nicht nur GET. Und wenns mit POST verwendet worden waere, waer ein Aufruf ueber ein Bild-Adresse nicht so einfach gewesen.

Widerspricht nebenbei auch RFC 2616 ("In particular, the convention has been established that the GET and HEAD methods SHOULD NOT have the significance of taking an action other than retrieval.")

Ziemlich fancy. Respekt.

30.11.2012, 11:21

wer einen Router mit default passwort betreibt sollte sowieso gestraft werden

sie haben völlig recht

aber ich behaupte jetzt mal, dass 90% keine ahnung haben, wie man überhaupt auf den router kommt und dass es da ein passwort gibt. bzw eines geben sollte :-)

stimmt, total scary wenn die admin sachen ohnehin nur aus dem LAN erreichbar sind.

.. sowas wie öffentlicher Pranger?

An den öffentlichen Pranger

hat er sich eh selber gestellt ... wenn er einen Router mit Default Kennwort betreibt.

Bei Tele2 ist es unmöglich, das Passwort zu ändern, so viel zu dem Thema :-/

Also bei meinem ging das noch^^

also ich weiß ja nicht, was tele2 da in den letzten 2 Jahren gedreht hat

aber mein passwort hab ich damals noch geändert :-)

Jetzt ärgert mich der UPC Router noch mehr

Mein Thomson TWG 870 stürzt immerwieder ab und manchmal geht er dabei zurück auf die Werkseinstellungen. Das doofe ist, man merkt das manchmal gar nicht.

Ruf mal an bei UPC, ich hatte mit meinem TWG870 auch Probleme hatte andauern disconnects. Ich hatte das Glück anscheinend einen guten Techniker ans Telefon zu bekommen. Er hat sich die Verbindungsprotokolle anschaut und anschließend die Routerverbindungsdaten kontrolliert. - Er meinte dann die Verbindung sei schlecht, kontrollierte die Firmware und meinte das es mit dieser Version immer wieder Probleme gäbe und spielte mir eine neue auf. - Ein Router-Neustart, die Verbindungswerte waren wieder gut und seitdem habe ich keine Probleme mehr.

Posting 1 bis 25 von 35
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.