Sicherheitsforscher entdecken 300.000 gehackte Router

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34738
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Sicherheitsforscher entdecken 300.000 gehackte Router

Beitrag von doelf » 04 Mär 2014, 14:32

Sicherheitsforscher vom Team Cymru aus Wales haben einen Angriff auf mehrere Router-Modelle, die primär von Privatkunden und von kleineren Firmen genutzt werden, entdeckt. Bei mehr als 300.000 Geräten hatten Kriminelle die Adresse der DNS-Server geändert und damit jeglichen Internetverkehr über ihre eigenen Server umgeleitet.

DNS-Server sind die Telefonbücher des Internets, sie werden beispielsweise von den Internetanbietern geführt. Werden diese Telefonbücher ausgetauscht, kann der Internetverkehr der betroffenen Nutzer abgefangen und auf andere Server umgeleitet werden. Als Mittelsmann ("Man in the Middle") können die Angreifer sowohl sensible Daten wie Benutzernamen und Passwörter abgreifen als auch ihren Opfern Viren und Trojaner unterschieben. Router sind dabei ein ideales Angriffsziel, da man auf einen Schlag alle verbundenen Geräte vom Computer über Tablet und Smartphone bis hin zum Smart-TV kompromittieren kann. Zudem enthalten viele dieser Geräte bekannte Sicherheitslücken.

Der Angriff wurde erstmals im Januar 2014 entdeckt, er scheint nach bisherigen Erkenntnissen Mitte Dezember 2013 begonnen zu haben. Laut Team Cymru richtet er sich nicht gegen ein einzelnes Modell, sondern gegen zahlreiche Router unterschiedlicher Hersteller. Hierzu gehören beispielsweise D-Link, Micronet, Tenda und TP-Link. Die Firmware der untersuchten Router enthält eine Schwachstelle, welche Cross-Site Request Forgery (CSRF) ermöglicht. Per JavaScript wurde den Routern zunächst ein NULL-Passwort untergeschoben und im Anschluss die DNS-Konfiguration manipuliert. Die Angreifer änderten die Adresse des primären DNS-Severs auf 5.45.75.11 und leiteten den sekundären auf 5.45.75.36 um:

Bild

Dieses Vorgehen konnte mit einem Router des Typs TP-Link TD-8840t (Firmware 3.0.0 Build 120531) nachgestellt werden. Angegriffen wurde aber auch eine Version von ZyXELs ZynOS, bei der sich die Konfigurationsdatei des Routers von außen ohne Anmeldung herunterladen lässt. Die meisten der Opfer kommen aus Vietnam. Es folgen Indien, Italien, Thailand, Kolumbien, Bosnien-Herzegowina, die Türkei und die Ukraine. Deutschland, Österreich, die Schweiz, Dänemark, Belgien, Luxemburg und die Niederlande werden zumindest namentlich nicht erwähnt. Die Sicherheitsexperten von Team Cymru empfehlen die Prüfung der DNS-Einstellungen, im Normalfall sollte der Router sich diese vom Internetanbieter zuweisen lassen.

Quelle:
https://www.team-cymru.com/ReadingRoom/ ... arming.pdf

Antworten