Geheime Hintertüren: Eigenen Router auf Sicherheitslücke prüfen

13. Jänner 2014, 16:10
46 Postings

Geräte führender Hersteller betroffen

Cisco, Linksys, Netgear: Geräte fast aller großen Hersteller sind von einer ominösen Hintertür betroffen, durch die sogar auf Passwörter im Klartext zugegriffen werden kann - der WebStandard berichtete.  Ein undokumentierter Dienst auf dem TCP-Port 32764 macht dies möglich. Meist ist dieser nur im lokalen Netzwerk oder über WLAN erreichbar, in seltenen Fällen kann der Zugriff auch über das Internet erfolgen. Ist letzteres der Fall, sollte der Router aufgrund des hohen Sicherheitsrisikos schnellstmöglich deaktiviert werden.

Heise bietet Test an

Die Betroffenheit des eigenen Geräts lässt sich nun mit einem auf „heise" kostenfrei benutzbaren Netzwerkcheck feststellen. Der Test prüft verschiedene Ports auf ihre Zugänglichkeit, darunter auch den problematischen Port 32764. Wird dieser im Ergebnis rot angezeigt, sollte der Router außer Betrieb genommen werden. Zusätzlich kann dann ein „Backdoor-Check" durchgeführt werden. Der Heise-Test stellt allerdings nur fest, ob die Hintertür über das Internet erreicht werden kann.

Erreichbarkeit im lokalen Netz über Telnet prüfbar

Auskunft, ob auf Port 32764 im lokalen Netz zugegriffen werden kann, liefert ein „Proof-of-Concept"-Skript des französischen Entwicklers Eloi Vanderbeken, der die Sicherheitslücke entdeckt hatte. Zur Ausführung des Skripts muss Python installiert sein. Ein Schnelltest unter Windows kann laut „Heise" auch in der Eingabeaufforderung durchgeführt werden: Mit dem Befehl „telnet <router ip> 32764" kann man herausfinden, ob die Backdoor vorhanden ist. Wenn nach erfolgreichem Verbindungsaufbau die Zeichenfolge „ScMM" oder eine Variation davon erscheint, existiert der Dienst auf dem Router. Ab Windows sieben muss telnet aktiviert werden. Unter Linux muss man zu netcat greifen, Mac OS X User können zwischen telnet und netcat wählen.

Hersteller arbeiten an Lösung

Die Herstellerfirmen der betroffenen Router geben sich überrascht und wollen die Sicherheitslücken überprüfen. Von Updates ist man also weit entfernt. Für Kunden scheint es daher momentan wenig Handlungsspielraum zu geben. Laut „Heise" helfe es bei manchen betroffenen Geräten, den TCP-Port 32764 auf einen nicht erreichbaren Port im lokalen Netzwerk weiterzuleiten und dann zu testen, ob die Hintertür noch genutzt werden kann. Andernfalls bleibt nur die Option, den Router aus dem Verkehr zu ziehen. (red, derstandard.at, 13.1.2014)

  • Artikelbild
    foto: hersteller
Share if you care.