Asus-Router: Lücke legt Nutzerdaten bei 13.000 Geräten offen

6. Februar 2014, 09:52
15 Postings

Einfacher Zugriff auf Cloud-Daten und USB-Speicher möglich

Elektronikhersteller Asus steht aufgrund von Sicherheitslücken bei seinen Routern vor einem Problem. Unbekannte haben eine Liste mit den IP-Adressen von rund 13.000 betroffenen Geräten ins Netz gestellt.

"Asus hat fast ein Jahr damit verbracht, dass die RT-Serie ihrer Router zwei kritische Schwachstellen aufweist", so die Stellungnahme der Angreifer, die in Form einer einfachen Textdatei dem via Bittorrent verbreiteten Datenpaket beiliegt. Man wirft dem Unternehmen vor, Hinweise auf die Probleme einfach ignoriert und sechs Monate lang kein Firmwareupdate mit einer Lösung ausgeliefert zu haben.

Viele Geräte nicht aktualisiert

Tatsächlich hat Asus laut Heise einen Monat nach der Meldung der Probleme Aktualisierungen für die Router-Software bereit gestellt, offenbar wurden diese auf einer großen Anzahl an Geräten noch nicht eingespielt. Bei einer Stichprobe erwiesen sich die IP-Adressen als authentisch. Auch der WebStandard konnte dies in einem kurzen Test nachvollziehen.

USB-Speicher über IP-Adresse zugänglich

Konkret gibt es auf betroffenen Geräten zwei Probleme. Standardmäßig erlaubt der integrierte FTP-Server jedem den anonymen Login. Was als Feature namens "Limitless Access Rights" eigentlich dafür gedacht ist, den Zugriff auf eigene Dateien auf an den Router angeschlossenen USB-Speichermedien zu erlauben, führt in der tatsächlichen Umsetzung dazu, dass jeder über die IP-Adresse des Nutzers diese Möglichkeit hat.

Cloud-Zugang im Klartext

Schwachstelle Nummer Zwei betraf die Passwörter für Asus' eigenen Cloudspeicher-Dienst "AiCloud", der Zugriff auf eigene Daten im Heimnetzwerk und online ermöglicht. Die Kennwörter sind auf den Routern mit älterer Firmware im Klartext in einer Datei hinterlegt, die sich ohne Log-in herunterladen lässt.

#Asusgate

"Wir entschuldigen uns dafür, Unschuldige auf diese Art bloßzustellen", rechtfertigen sich die Angreifer, die für die Affäre das Schlagwort "Asusgate" erfunden haben. Man sehe aber keine andere Möglichkeit, als so auf das Problem aufmerksam zu machen.

Besitzer von Routern der RT-Serie sollten sicherstellen, dass ihr Gerät mit der aktuellsten verfügbaren Firmware ausgestattet ist und dieses andernfalls einspielen. (gpi, derStandard.at, 06.02.2014)

Links

Asus

Heise

  • Zumindest rund 13.000 Geräte der RT-Router-Reihe von Asus sind ungeschützt online.
    foto: asus

    Zumindest rund 13.000 Geräte der RT-Router-Reihe von Asus sind ungeschützt online.

  • Es reicht aus, per FTP auf die betroffenen IP-Adressen zuzugreifen, um dort zu den Inhalten von angeschlossenen USB-Speichern zu gelangen.
    foto: screenshot

    Es reicht aus, per FTP auf die betroffenen IP-Adressen zuzugreifen, um dort zu den Inhalten von angeschlossenen USB-Speichern zu gelangen.

Share if you care.