WeBLOG
Exploit-Kit manipuliert Router-DNS (26.05.2015)
Zahlreiche Router-Modelle, vor allem der Marke D-Link, sind derzeit von einem Sicherheitsleck betroffen, welches aktiv durch ein Exploit-Kit ausgenutzt wird.

Das Anrgiffsprogramm erhält man via Webbrowser über eine verseuchte Webseite durch verschlüsselten JavaScript-Code untergejubelt. Dieses ermittelt zunächst die LAN-IP-Adresse des Routers und das verwendete Modell. Anschliessend greift es den Router - mittels individuell zugeschnittenem Exploit - über die Schwachstelle an oder versucht mit Standardzugangsdaten an die Konfiguration heranzukommen.
Im Erfolgsfalle biegt das Exploit-KIT die DNS-Servereinstellungen (Domain-Name-System) des Routers um, d.h. alle Anfragen, die hernach über diesen Router laufen, werden auf eine IP-Adresse umgeleitet, die unter der Kontrolle der Angreifer steht.

Wird dann beispielsweise die Homebanking-Webseite aufgerufen, wäre es möglich, auf einer nachgebauten Webseite zu landen, ohne dies sofort zu bemerken.  


Die Missbrauchsmöglichkeiten sind vielzählig, weshalb man als Betreiber eines Routers - und das ist heute sozusagen jeder Internetanschlussinhaber von der Familie bis zum Unternehmen - dessen Konfiguration erhöhte Aufmerksamkeit schenken muss!

Generell raten wir dazu folgendes:
  • In regelmässigen Abständen (bzw. nach Bekanntwerden einer Routerlücke des verwendeten Fabrikats) sollte die Aktualität der Firmware des Routers überprüft und ggf. die neueste Version installiert werden.

  • Ändern der Standardzugangsdaten für das Konfigurations-Webinterface (z.B. vergeben viele Router als Benutzer und Passwort "admin") mit einem sicheren Passwort.

  • Deaktivierung der Remote-Administration über das Internet (Fernzugriff). Auch ohne ein bestehendes Router-Sicherheitsleck besteht die Gefahr einer erfolgreichen Brute-Force- oder Dictionary-Attack. Login-Interfaces von Routern (und nicht nur die) lassen sich erschreckend einfach über sog. Google-Hacking finden.

  • Deaktivierung von UPnP (Universal Plug and Play) des Routers. Über sog. Cross-Site-Scripting-Attacken (XSS) wäre es einem Angreifer unter bestimmten Umständen möglich, in den Authentifizierungsdialog des Routers einzugreifen, um sich Zugriff zur Konfiguration zu verschaffen.

  • Deaktivierung jeglicher Serverdienste des Routers (z.B. FTP oder NAS) oder zumindest eine Beschränkung auf das lokale Netzwerk.

  • Portforwarding (Virtual Server) sollte wirklich nur im Bedarfsfall aktiviert sein, ansonsten keine Ports freischalten (Regel deaktivieren) oder nur in Verbindung mit weiteren Sicherungsmassnahmen über eine geeignete Firewall (z.B. Einschränkung auf eine feste, statische IP-Adresse) zulassen.

  • Ist der Router gleichzeitig ein Access-Point für den kabellosen Zugriff, sind noch weitere Sicherheitsmassnahmen erforderlich, sehen Sie dazu DIESE SEITE
Kommentieren