Bis zu 300.000 WLAN-Router bei Großangriff geknackt

4. März 2014, 12:41
33 Postings

DNS-Einträge wurden manipuliert - Erlaubt Umleitung des Internetverkehrs auf Webseiten mit Schadcode

Berichte über Angriffe auf Home-Router haben in den letzten Monaten deutlich an Zahl zugenommen. Ein neuer Vorfall zeigt das durch mangelnde Sicherheitsupdates der Hersteller entstandene Problem wieder einmal nachhaltig auf. Die Sicherheitsforscher von Team Cymru haben einen Großangriff auf WLAN-Router aufgedeckt, bei dem die DNS-Einträge der Geräte manipuliert wurden.

Erklärung

Ein Domain Name Server dient dazu, den Zusammenhang zwischen Klaradressen wie derStandard.at und der dahinterstehende IP-Adresse herzustellen. Wer an dieser Stelle ansetzt, kann also Internetzugriffe gezielt auf manipulierte Webseiten umleiten, und dort beispielsweise Schadcode platzieren.

Zahlen

Laut den Sicherheitsforschern konnte man im Verlauf von zwei Wochen rund 300.000 betroffene IP-Adressen aufspüren, hinter denen ein solcherart manipulierter Router steckte. Die konkrete Zahl von betroffenen Geräten dürfte damit etwa niedriger sein, da manche Anbieter regelmäßig IP-Adressen wechseln.

Weit gestreut

Die Angreifer haben sich dabei nicht auf einen einzelnen Routertyp begrenzt, es wurden also zahlreiche Geräte von verschiedenen Herstellern wie etwa D-Link oder Zyxel übernommen. Und zwar sowohl Geräte für den Privateinsatz als auch solche für kleine und mittlere Firmen. Dabei kam eine Fülle unterschiedlicher, bekannter Fehler zum Einsatz, die die Fernadministration durch Dritte ermöglichen.

Vorbereitung?

Beweise dafür, dass die zwei von den Angreifern aufgestellten DNS-Server mit den Adressen 5.45.75.11 und 5.45.75.36 zu konkreten Attacken genutzt wurden, konnte das Team Cymru bisher allerdings nicht finden. Eventuell sei man hier also mitten in die Vorbereitungsphase geplatzt, spekulieren die Sicherheitsforscher.

Ausblick

Doch selbst wenn es dazu nicht kommt, könnten betroffene Nutzer schon bald eine unerfreuliche Erfahrung machen: Werden die zwei erwähnten DNS-Server abgeschaltet, wird nämlich zunächst mal gar nichts mehr gehen, da die DNS-Anfragen ins Leere gehen. Erst eine manuelle Korrektur der Router-Einstellungen bringt in Folge Abhilfe. (apo, derStandard.at, 4.3.2014)

  • Artikelbild
    foto: matt rourke / ap
Share if you care.