Categories: Sicherheit

Sicherheitslücke in Linksys-Routern bestätigt

Veröffentlichter Quellcode beweist, dass eine Schwachstelle in einer Reihe von Linksys-Routern ausnutzbar ist. Eine erste Warnung vor dieser Sicherheitslücke kam zuvor vom Internet Storm Center (ICS) des Sans Institute. Es beschrieb einen als „The Moon“ bezeichneten Wurm, der Router von Linksys befällt und sich selbständig weiterverbreitet.

(Bild: Linksys)

Als Einfallstor für Malware erwies sich dabei das HNAP (Home Network Administration Protocol), ein Verwaltungsprotokoll für Netzwerkgeräte, das offenbar vor allem von Internet Service Providern eingesetzt wird. Patentiert wurde es ursprünglich von Pure Networks, gehört inzwischen aber Cisco. Die Endverbrauchermarke Linksys wiederum wurde im letzten Jahr von Cisco an Belkin veräußert.

Die Verbreitung des Wurms führte das ICS auf ein unsicheres CGI-Script zurück, das zufällig gewählte Administrator-Anmeldedaten ohne Überprüfung akzeptierte. So wurde der Start eines einfachen Shell-Scripts möglich, das für das Nachladen des tatsächlichen Wurms mit einer Dateigröße von rund 2 MByte sorgte. Wurde dieser Code ausgeführt, schien der infizierte Router gezielt nach weiteren Opfern zu suchen.

Nicht eindeutig klären konnten die Sicherheitsexperten, ob der Wurm tatsächlich nur um seine eigene Verbreitung bemüht war, oder er dem Aufbau eines Botnetzes mit einem funktionierenden Kommando- und Befehlskanal diente. Einen Proof-of-Concept-Expoit veröffentlichte inzwischen der Nutzer Rew bei Exploit-db.com. Er rechtfertigte diesen Schritt mit einer Diskussion auf der Social-News-Site Reddit, dank derer „die Katze aus dem Sack“ sei.

Der Exploit-Autor entnahm außerdem aus Strings der ursprünglichen „The Moon“-Malware eine Liste der mutmaßlich anfälligen Linksys-Router. Betroffen sind demnach Modelle der E-Serie wie E4200, E3200 und E3000, aber auch die Wireless-N-Produktlinie mit Modellbezeichnungen wie WAG32ON oder WRT610N.

Linksys-Besitzer Belkin bestätigte inzwischen, dass die Malware „bestimmte ältere Router und Access Points“ angreifen kann. Der vom Wurm eingesetzte Exploit zur Umgehung der Admin-Authentifizierung funktioniere jedoch nur bei aktivierter Fernverwaltung. Belkins Kommunikationschefin Karen Sohl empfahl betroffenen Kunden, dieses Feature zu deaktivieren und anschließend einen Neustart des Routers zu veranlassen. Instruktionen dafür veröffentlichte Linksys auf seiner Website.

Laut Linksys ist der Fernzugriff bei den ausgelieferten Geräten standardmäßig nicht aktiviert. Der Hersteller arbeitet an einem Firmware-Fix für die betroffenen Produkte und will ihn innerhalb der nächsten Wochen auf seiner Website veröffentlichen.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

15 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

19 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

20 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

21 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

21 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

23 Stunden ago