Sicherheitslücke in Linksys-Routern bestätigt

Veröffentlichter Quellcode beweist, dass eine Schwachstelle in einer Reihe von Linksys-Routern ausnutzbar ist. Eine erste Warnung vor dieser Sicherheitslücke kam zuvor vom Internet Storm Center (ICS) des Sans Institute. Es beschrieb einen als „The Moon“ bezeichneten Wurm, der Router von Linksys befällt und sich selbständig weiterverbreitet.

Als Einfallstor für Malware erwies sich dabei das HNAP (Home Network Administration Protocol), ein Verwaltungsprotokoll für Netzwerkgeräte, das offenbar vor allem von Internet Service Providern eingesetzt wird. Patentiert wurde es ursprünglich von Pure Networks, gehört inzwischen aber Cisco. Die Endverbrauchermarke Linksys wiederum wurde im letzten Jahr von Cisco an Belkin veräußert.

Die Verbreitung des Wurms führte das ICS auf ein unsicheres CGI-Script zurück, das zufällig gewählte Administrator-Anmeldedaten ohne Überprüfung akzeptierte. So wurde der Start eines einfachen Shell-Scripts möglich, das für das Nachladen des tatsächlichen Wurms mit einer Dateigröße von rund 2 MByte sorgte. Wurde dieser Code ausgeführt, schien der infizierte Router gezielt nach weiteren Opfern zu suchen.

Nicht eindeutig klären konnten die Sicherheitsexperten, ob der Wurm tatsächlich nur um seine eigene Verbreitung bemüht war, oder er dem Aufbau eines Botnetzes mit einem funktionierenden Kommando- und Befehlskanal diente. Einen Proof-of-Concept-Expoit veröffentlichte inzwischen der Nutzer Rew bei Exploit-db.com. Er rechtfertigte diesen Schritt mit einer Diskussion auf der Social-News-Site Reddit, dank derer „die Katze aus dem Sack“ sei.

Der Exploit-Autor entnahm außerdem aus Strings der ursprünglichen „The Moon“-Malware eine Liste der mutmaßlich anfälligen Linksys-Router. Betroffen sind demnach Modelle der E-Serie wie E4200, E3200 und E3000, aber auch die Wireless-N-Produktlinie mit Modellbezeichnungen wie WAG32ON oder WRT610N.

Linksys-Besitzer Belkin bestätigte inzwischen, dass die Malware „bestimmte ältere Router und Access Points“ angreifen kann. Der vom Wurm eingesetzte Exploit zur Umgehung der Admin-Authentifizierung funktioniere jedoch nur bei aktivierter Fernverwaltung. Belkins Kommunikationschefin Karen Sohl empfahl betroffenen Kunden, dieses Feature zu deaktivieren und anschließend einen Neustart des Routers zu veranlassen. Instruktionen dafür veröffentlichte Linksys auf seiner Website.

Laut Linksys ist der Fernzugriff bei den ausgelieferten Geräten standardmäßig nicht aktiviert. Der Hersteller arbeitet an einem Firmware-Fix für die betroffenen Produkte und will ihn innerhalb der nächsten Wochen auf seiner Website veröffentlichen.