WeBLOG
Exploit-Kit manipuliert Router-DNS (26.05.2015)
Zahlreiche Router-Modelle, vor allem der Marke D-Link, sind derzeit von einem Sicherheitsleck betroffen, welches aktiv durch ein Exploit-Kit ausgenutzt wird.

Das Anrgiffsprogramm erhält man via Webbrowser über eine verseuchte Webseite durch verschlüsselten JavaScript-Code untergejubelt. Dieses ermittelt zunächst die LAN-IP-Adresse des Routers und das verwendete Modell. Anschliessend greift es den Router - mittels individuell zugeschnittenem Exploit - über die Schwachstelle an oder versucht mit Standardzugangsdaten an die Konfiguration heranzukommen.
Im Erfolgsfalle biegt das Exploit-KIT die DNS-Servereinstellungen (Domain-Name-System) des Routers um, d.h. alle Anfragen, die hernach über diesen Router laufen, werden auf eine IP-Adresse umgeleitet, die unter der Kontrolle der Angreifer steht.

Wird dann beispielsweise die Homebanking-Webseite aufgerufen, wäre es möglich, auf einer nachgebauten Webseite zu landen, ohne dies sofort zu bemerken.  


Die Missbrauchsmöglichkeiten sind vielzählig, weshalb man als Betreiber eines Routers - und das ist heute sozusagen jeder Internetanschlussinhaber von der Familie bis zum Unternehmen - dessen Konfiguration erhöhte Aufmerksamkeit schenken muss!

Generell raten wir dazu folgendes:
  • In regelmässigen Abständen (bzw. nach Bekanntwerden einer Routerlücke des verwendeten Fabrikats) sollte die Aktualität der Firmware des Routers überprüft und ggf. die neueste Version installiert werden.

  • Ändern der Standardzugangsdaten für das Konfigurations-Webinterface (z.B. vergeben viele Router als Benutzer und Passwort "admin") mit einem sicheren Passwort.

  • Deaktivierung der Remote-Administration über das Internet (Fernzugriff). Auch ohne ein bestehendes Router-Sicherheitsleck besteht die Gefahr einer erfolgreichen Brute-Force- oder Dictionary-Attack. Login-Interfaces von Routern (und nicht nur die) lassen sich erschreckend einfach über sog. Google-Hacking finden.

  • Deaktivierung von UPnP (Universal Plug and Play) des Routers. Über sog. Cross-Site-Scripting-Attacken (XSS) wäre es einem Angreifer unter bestimmten Umständen möglich, in den Authentifizierungsdialog des Routers einzugreifen, um sich Zugriff zur Konfiguration zu verschaffen.

  • Deaktivierung jeglicher Serverdienste des Routers (z.B. FTP oder NAS) oder zumindest eine Beschränkung auf das lokale Netzwerk.

  • Portforwarding (Virtual Server) sollte wirklich nur im Bedarfsfall aktiviert sein, ansonsten keine Ports freischalten (Regel deaktivieren) oder nur in Verbindung mit weiteren Sicherungsmassnahmen über eine geeignete Firewall (z.B. Einschränkung auf eine feste, statische IP-Adresse) zulassen.

  • Ist der Router gleichzeitig ein Access-Point für den kabellosen Zugriff, sind noch weitere Sicherheitsmassnahmen erforderlich, sehen Sie dazu DIESE SEITE
Kommentare (0) zu diesem BLOG-Eintrag
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.



 Die Übertragung erfolgt SSL-verschlüsselt, d.h. mit Protokoll https
(mit * kennzeichnet ein Pflichtfeld)
Name*:
eMail-Adresse*:
Homepage:
 Homepage wird zum Kommentar angezeigt
Kommentar*:Zeichen frei:

Datenschutz - Einwilligung DSGVO*:


Sicherheits-Abfrage*:
Bitte geben Sie die Summe als Zahl ein (z.B. VIER+ACHT=12).
Bild mit Rechenaufgabe 
 

Hinweise: Eine eingegebene URL (Internetadresse) wird automatisch erkannt und verlinkt, deshalb bitte keinen HTML-Code eingeben.

Wir behalten uns vor, Kommentare vor der Veröffentlichung zu prüfen (Wir benachrichtigen Sie dann über eine Freigabe per E-Mail). Erst-Kommentare werden grundsätzlich zuvor geprüft. Haben Sie bereits Kommentare mit derselben E-Mail-Adresse abgegeben und wir Sie als vertrauenswürdig eingestuft, wird Ihr Kommentar ohne Prüfung sofort veröffentlicht. Auch in diesem Fall behalten wir uns vor, Kommentare nachträglich zu sperren oder endgültig zu löschen, verletzende oder gesetzlich unzulässige Inhalte zu entfernen oder die Vertrauenswürdigkeit wieder herabzustufen.