Linksys-Router mit Schwachstelle

Martin Schindler,

Jetzt veröffentlichter Quellcode belegt einige Sicherheitslecks in Linksys-Routern. Diese ermöglichen es der Schadsoftware “The Moon” sich über die Hardware auszubreiten.

linksys
Eine erste Warnung vor der Sicherheitslücke in einigen Linksys-Routern des Internet Storm Center (ICS) des Sans Institute belegt jetzt die Analyse des Quellcodes. Der als “The Moon” bezeichnete Wurm befällt Router von Linksys und verbreitet sich selbständig weiter.

Als Einfallstor für Malware fungiert dabei das HNAP (Home Network Administration Protocol), ein Verwaltungsprotokoll für Netzwerkgeräte, das offenbar vor allem von Internet Service Providern eingesetzt wird. Patentiert wurde es ursprünglich von Pure Networks, gehört inzwischen aber Cisco. Die Endverbrauchermarke Linksys wiederum wurde im vergangenen Jahr von Cisco an Belkin veräußert.

Die Verbreitung des Wurms führte das ICS auf ein unsicheres CGI-Script zurück, das zufällig gewählte Administrator-Anmeldedaten ohne Überprüfung akzeptierte. So wurde der Start eines einfachen Shell-Scripts möglich, das für das Nachladen des tatsächlichen Wurms mit einer Dateigröße von rund 2 MByte sorgte. Wurde dieser Code ausgeführt, schien der infizierte Router gezielt nach weiteren Opfern zu suchen.

Nicht eindeutig klären konnten die Sicherheitsexperten, ob der Wurm tatsächlich nur um seine eigene Verbreitung bemüht war, oder er dem Aufbau eines Botnetzes mit einem funktionierenden Kommando- und Befehlskanal diente. Einen Proof-of-Concept-Expoit veröffentlichte inzwischen der Nutzer Rew bei Exploit-db.com. Er rechtfertigte diesen Schritt mit einer Diskussion auf der Social-News-Site Reddit, dank derer “die Katze aus dem Sack” sei.

Der Exploit-Autor entnahm außerdem aus Strings der ursprünglichen “The Moon”-Malware eine Liste der mutmaßlich anfälligen Linksys-Router. Betroffen sind demnach Modelle der E-Serie wie E4200, E3200 und E3000, aber auch die Wireless-N-Produktlinie mit Modellbezeichnungen wie WAG32ON oder WRT610N.

Linksys-Besitzer Belkin bestätigte inzwischen, dass die Malware “bestimmte ältere Router und Access Points” angreifen kann. Der vom Wurm eingesetzte Exploit zur Umgehung der Admin-Authentifizierung funktioniere jedoch nur bei aktivierter Fernverwaltung. Belkins Kommunikationschefin Karen Sohl empfahl betroffenen Kunden, dieses Feature zu deaktivieren und anschließend einen Neustart des Routers zu veranlassen. Instruktionen dafür veröffentlichte Linksys auf seiner Website.

Laut Linksys ist der Fernzugriff bei den ausgelieferten Geräten standardmäßig nicht aktiviert. Der Hersteller arbeitet an einem Firmware-Fix für die betroffenen Produkte und will ihn innerhalb der nächsten Wochen auf seiner Website veröffentlichen.

[mit Material von Bernd Kling, ZDNet.de]