Security

Router durch Sicherheitslücken bei Fernwartung gefährdet

Die von Providern für die Fernwartung von Routern per Protokoll TR-069 genutzten Autokonfigurationsserver weisen offenbar erhebliche Schwachstellen auf. Sicherheitsexperten haben Bugs in der verwendeten Software entdeckt, die die Manipulation von Routern erlauben.

16.08.2014, 09:01 Uhr
Paar mit Laptop© Syda Productions / Fotolia.com

Neue Firmware und Sicherheitsupdates für DSL-Router und Kabel-Router: Vielfach können Provider per Fernwartung auf die Geräte ihrer Kunden zugreifen und diese entsprechend aktualisieren. Doch die von Internetanbietern weltweit genutzte komfortable Fernwartung über Autokonfigurationsserver (ACS) per Protokoll TR-069 birgt offenbar erhebliche Sicherheitsrisiken. Das israelische IT-Sicherheitsunternehmen Check Point Software warnt aktuell vor der realen Gefahr einer Manipulation von Millionen Routern.

Auch Router in Deutschland betroffen?

Wie heise.de berichtet habe der israelische IT-Experte Shahar Tal für Check Point Software vor allem die Sicherheit von ACS-Servern bei Providern im Nahen Osten untersucht. Ein Internetanbieter erlaubte durch die Schwachstelle beispielsweise den Fernzugriff auf rund 500.000 seiner DSL-Router.

Aber auch DSL-Anbieter sowie Kabelnetzbetreiber in Deutschland würden auf das Protokoll TR-069 setzen. Unklar sei, welche Server-Software bei den deutschen Anbietern zum Einsatz kommt. Die TR-069-Funktion sei bei einigen von Providern zur Verfügung gestellten Routern nicht deaktivierbar, bei frei verkäuflichen Routern hätten Nutzer dagegen die Wahl und könnten TR-069 bei Bedarf abschalten.

Sicherheitslücken mit erheblichem Gefahrenpotential

Die Gefahren, die von der Sicherheitslücke ausgehen, sind erheblich. In den OpenSource-Programmen openACS und genieACS entdeckte Tal Bugs, die beispielsweise die Ausführung von Remote-Code erlaubten. Besonders bedenklich: Das Programm genieACS erlaubte das Ausführen von manipuliertem Code unter Root-Rechten und gibt damit einem Angreifer freien Zugang auf den ACS-Router und die darüber kontrollierten Router der Kunden. Es lassen sich VoIP-Zugangsdaten auslesen, DNS-Einstellungen des Routers manipulieren und Firmware mit einem Hintertürchen für Kriminelle auf die Router übertragen.

Wie können sich Nutzer vor möglichen Attacken durch Ausnutzung der geschilderten Sicherheitslücken schützen. Experte Tal rät zum einem zur Abschaltung von TR-069 bei Geräten, wo dies über das Web-Interface möglich ist. Andernfalls solle der Provider eine aktuelle Firmware bereitstellen, die den Kunden eine solche Abschaltung ermöglicht. Ein eigener vorgeschalteter Router mit deaktiviertem TR-069 sei eine weitere Alternative.

(Jörg Schamberg)

Kommentieren Forum
Zum Seitenanfang