Anfang Januar entdeckten Sicherheitsforscher eine schwere Sicherheitslücke in WLAN-Routern der Hersteller Cisco, Netgear und Linksys: Über eine versteckte Funktion konnten Hacker Passwörter auslesen, die Routerkonfiguration ändern oder den Internetverkehr der Nutzer umlenken.
Die Hersteller reagierten teils zögerlich, erkannten aber schließlich das Problem an und veröffentlichten Updates, um das Leck zu beheben. So weit, so üblich. Doch nun entdeckte der französische Sicherheitsforscher Eloi Vanderbeken am Osterwochenende, dass das Update seines Netgear-Routers keineswegs die Sicherheitslücke schließt. Stattdessen hatten die Programmierer des Updates laut Vanderbeken die Lücke nur besser versteckt.
Vanderbeken ist Spezialist für die Analyse von Geräte-Software, er veröffentlichte zu Ostern unter dem Logo seiner Sicherheitsfirma Synacktiv entsprechende Screenshots. Zumindest für den weit verbreiteten DSL-Router Netgear DGN 1000 gilt demnach, dass die Lücke keineswegs beseitigt wurde, sondern im Gegenteil erstens besser verborgen, zweitens sogar ausgebaut wurde.
Nun fragen Sicherheitsforscher wie Vanderbeken laut, ob die Lücke kein Fehler, sondern ein geplantes Feature sein könnte, um Hackern oder Geheimdiensten eine Hintertür in die Geräte zu verschaffen.
Tausende verwundbare Router hierzulande
Die Lücke erlaubt es Angreifern, über den Netzwerk-Port 32764 auf die Konfigurationsoberfläche der Router zuzugreifen und dort Änderungen vorzunehmen und Passwörter auszulesen. Wer diese Lücke nutzt, kann alle Nutzer und Geräte ausspionieren, die über den betroffenen Router mit dem Internet verbunden sind – sogar SSL-Zertifikate zur Verschlüsselung sicherer VPN-Verbindungen ließen sich so auslesen.
Die Hersteller hatten behauptet, dass die Lücke nur innerhalb des lokalen Netzes problematisch sei. Cisco sprach zunächst von einer „undokumentierten Test-Interface“. Doch Sicherheitsforscher des Heise-Verlages zeigten im Januar: Zumindest bei einigen Geräten war der Zugriff auch direkt aus dem Internet möglich – und bei allen Geräten können Internetprovider und damit auch Behörden die Lücke nutzen, da sie physisch im selben Netz angeschlossen sind wie die DSL-Router.
Die Heise-Forscher hatten Anfang des Jahres allein in Deutschland Tausende verwundbare Router im Netz gefunden. Eine aktuelle Suche der Netzsuchmaschine Shodan nach Routern mit einem offenen Port 32764 zeigt noch immer Tausende potenziell verwundbare Geräte.
Kein Wunder: Teils veröffentlichten die Hersteller Updates der Router-Firmware sehr zögerlich: Netgear etwa hatte das Update der Software für den DGN 1000 erst am 7. April, drei Monate nach der ursprünglichen Entdeckung, zur Verfügung gestellt. Genau in diesem Update fand Vanderbeken nun erneut das Einfallstor über Port 32764.
Zögerliche Reaktion der Hersteller
Weitere Nachforschungen zeigen: Der Erhalt der Lücke scheint irgendjemandem geradezu am Herzen zu liegen. Schon die Formulierung „undokumentierte Testfunktion“ in Ciscos Sicherheitsbulletin aus dem Januar scheint anzudeuten, dass zumindest die Zugriffsmöglichkeit auf Port 32764 den Herstellern bereits bekannt war.
Nutzerkommentare in Supportforen zeigen zudem: Die „undokumentierte Testfunktion“ existiert seit mindestens vier Jahren in diversen Routern, doch die Hersteller reagierten nicht auf Nutzerfragen zu verdächtiger Aktivität in ihren Netzwerken.
Cisco etwa hatte Nutzerhinweise im eigenen Supportforum ignoriert, der US-Hersteller Netgear wurde gar bereits im Jahr 2003 im eigenen französischen Nutzer-Forum auf den Port 32764 angesprochen. Erst als im Januar Sicherheitsforscher die Lücke und ihre Folgen nachwiesen und veröffentlichten, wurden die Hersteller aktiv.
Die Analyse des Fehlers im Januar hatte zu dem Verdacht geführt, dass die Lücke ihren Ursprung in der Software des taiwanischen Auftragsfertigers Sercomm haben könnte – die Firma aus Taipeh entwickelt im Auftrag der und zusammen mit den Markenherstellern Router und baut diese unter anderem in Fabriken auf dem chinesischen Festland.
Sollte eine Hintertür gelassen werden?
Nun tauchten in der aktualisierten Firmware erneut Code-Passagen auf, die den Port 32764 öffnen, und den Forscher Vanderbeken Sercomm zuordnet. Welches Interesse Sercomm oder Netgear daran haben könnten, die Lücke offenzuhalten, bleibt vorerst unklar.
Dokumente über Methoden der US-Geheimdienste, die der NSA-Whistleblower Edward Snowden im vergangenen Jahr veröffentlicht hatte, listen explizit die Möglichkeit auf, versteckte Hintertüren in Netzwerk-Hardware unterzubringen, um Sicherheitsbehörden einen Vorteil zu verschaffen.
Auch chinesische Hersteller gerieten bereits mehrfach unter Verdacht, ihre Geräte für Avancen der chinesischen Geheimdienste zu öffnen. Eine Anfrage der „Welt“ bei Netgear am Ostermontag blieb vorerst unbeantwortet.
