Verfolge es schon ein paar Tage und die Ausmaße scheinen größer als gedacht!
Die gestrige Nachricht über eine Backdoor in Routern, die eventuell auch über das Internet ausgenutzt werden kann, hat viele Anwender beunruhigt. Heise Online hat daher ein Testszenario erstellt, mit dem sich testen lässt ob der Router über diese Backdoor verfügt und wenn ja, ob diese auch über das Internet erreichbar ist.
[color="#FF0000"]
Die Liste der betroffenen Geräte wird immer länger. [/color]
[color="#00FF00"]->[/color]https://github.com/elvanderb/TCP-32764
Mit dem [color="#FF8C00"]Netgear DG834B V5.01.14 steht auch der erste Router in der Liste, bei dem bestätigt ist, dass die Backdoor über das Internet erreichbar ist.[/color] Besitzer von Routern, die in der Liste weder bestätigt noch ausgeschlossen sind, fragen sich aber immer noch, ob sie von der potenziell sehr gefährlichen Lücke betroffen sind.
Mit einigen kleinen Tests lässt sich jetzt etwas Licht ins Dunkel bringen. Unter Windows kann ein Schnelltest mit Telnet ersten Aufschluss geben. Ab Windows 7 muss hierzu Telnet zunächst aktiviert werden.
[color="#00FF00"]->[/color]Aktivierung des Telnet-Clients unter Windows 7
Dann kann mittels des Befehls [color="#00FF00"]„telnet <router ip> 32764“ [/color]in der Eingabeaufforderung getestet werden, ob jemand auf Port 32764 lauscht. Kommt hier das Kürzel „ScMM“ oder „MMcS“ zurück, ist dies ein sicherer Indikator für das Vorhandensein der Backdoor. Unter Linux kann alternativ Netcat verwendet werden.
Ist dieser Test positiv, ist das schlimm genug. Aber erst ein weiterer Test klärt ob der Router über die Backdoor auch von außen erreichbar ist. Hierzu kann der Portscan von Heise Online genutzt werden.
[color="#00FF00"]->[/color]Security | heise Security
In diesem Fall ist dort [color="#FF0000"]„Mein Scan“ auszuwählen und in das Feld darunter „32764“[/color] einzutragen. Erscheint das Ergebnis mit einem grünen Balken hinterlegt, ist der Port geschlossen, bei rotem Balken ist der Port offen. Sollte der Port nicht manuell geöffnet worden sein, besteht die Gefahr, dass eine zufällige Entdeckung dieses offenen Ports zum Auslesen der Router-Konfiguration samt Passwörtern führt. Außerdem kann der Router von außen auf Werkszustand gesetzt werden, was ihn völlig offen für Manipulationen bis hin zum Umleiten des Datenverkehrs durch Änderung des DNS-Servers macht. [color="#FF0000"]Sollte der Netzwerkcheck positiv sein, kann dieser mit dem dezidierten Backdoor-Test überprüft werden.[/color]
[color="#00FF00"]->[/color]Router Backdoor Scanner
Als letztes können Anwender versuchen, die Router-Konfiguration auszulesen. Dazu sollte ein anderer Internetanschluss verwendet werden. Der Rechner, auf dem das Script von Eloi Vanderbeken
[color="#00FF00"]->[/color]https://github.com/elvanderb/TCP-…backdoorolol.py
, dem Entdecker der Backdoor, läuft, muss eine Python-Installation aufweisen. Der Befehl[color="#FF0000"] „python backdoorolol.py --ip <IP-Adresse des Routers> --print-config“[/color] gibt aus, ob der Router angreifbar ist und versucht, im positiven Fall als Beweis die Konfigurationsdatei des Routers auszulesen. Sollte der Router von außen über das Internet erreichbar sein, sollte er sofort vom Netz genommen werden.
Von den Herstellern der betroffenen Geräte steht eine Stellungnahme derzeit noch aus.
[color="#00FF00"]Ursprünglichern Artikel:[/color]
Auch über das Internet erreichbar
Backdoor bei Routern von Linksys und Netgear entdeckt
Router
Das Thema ist nicht neu, in regelmäßigen Abständen berichten wir über manipulierbare Router. Jetzt wurde auf WLAN-Routern von Linksys, Netgear und anderen ein undokumentiert laufender Dienst entdeckt, der es erlaubt, die Konfiguration samt Passwörtern über das lokale WLAN-Netz auszulesen und zu manipulieren.
Der Hacker Eloi Vanderbeken versuchte während der Feiertage, Zugang zum Administrator-Panel des Linksys WAG200G seiner Familie zu bekommen, obwohl er das Panel früher gesperrt hatte und das Passwort nicht mehr verfügbar war. Bei seinen Scans entdeckte er unter anderem, dass auf dem TCP-Port 32764 ein aktiver Dienst lief, der in keiner Dokumentation auftaucht. Eine Recherche im Internet ergab, dass auch weitere Anwender diesen Dienst entdeckt hatten, ohne die Bewandnis ergründen zu können.
Vanderbecken lud die entsprechende Firmware aus dem Internet und untersuchte den MIPS-Code mit dem Analysewerkzeug binwalk. Dabei entdeckte er eine einfache Schnittstelle, über die er Kommandos an den Router senden konnte, ohne als Administrator authentifiziert zu sein. Ein erster Versuch setzte alle Einstellungen samt Passwörtern auf Werkseinstellungen zurück. Nach weiteren Tests erstellte Vanderbecken ein Script, dass er auf Github zur Verfügung stellte. Das Script erlaubt den Zugang zur Administrations-Schnittstelle ohne Kenntnis des Passworts. Kurz darauf meldeten sich andere Anwender, die bestätigten, dass auch andere Linksys-Router und auch solche von Netgear die undokumentierte Schnittstelle aufweisen.
Ein erster Hinweis, woher die Backdoor stammt gab der String „ScMM“ im Quellcode. Diese Buchstabenfolge könnte auf den Hersteller SerComm hinweisen, der zumindest einige der betroffenen Geräte hergestellt hat. Da SerComm als OEM unter anderem auch Router für Belkin und LevelOne, Diamond und Cisco herstellt, könnten auch Geräte dieser Marken betroffen sein. Bisher wurde die Backdoor zumindest in den Modellen Cisco WAP4410N, Diamond DSL642WLG und LevelOne WBR3460B entdeckt.
Wie der Newsdienst Heise Online heute berichtet, soll es entgegen ersten Aussagen möglich sein, den Dienst nicht nur im lokalen Netz sondern auch über das Internet zu erreichen. Die Suchmaschine Shodan erbrachte nach einer Suche nach Antworten auf Port 32764 rund 3.000 betroffene IP-Adressen, 60 davon in Deutschland. Eine Antwort auf eine Nachfrage seitens Heise Security bei Linksys und Netgear steht noch aus.
Quelle Computerbase.de