#1 23. Januar 2008 Man-in-the-Middle ist out, Man-in-the Router ist in. Musste man sich in den vergangenen Jahren nur selten Gedanken über die Sicherheit seines Routers machen, so häufen sich in den letzten Wochen Meldungen über Schwachstellen darin. Nun berichtet Symantec in seinem Blog sogar über erfolgreiche Angriffe auf die Router mexikanischer Internet-Anwender, denen mittels eines simplen eingebetteten GET-Requests in einer präparierten Webseite die Namensauflösung verbogen wurde. Die Angreifer nutzten quasi den Browser des Anwenders, um den Router "über Bande" umzukonfigurieren. Auf die präparierte Seite lockte eine E-Mail-Benachrichtigung über eine E-Card. In der Folge der Änderung löste der Router eine Namensanfrage an eine bekannte mexikanische Bank mit der IP-Adresse einer Phishing-Seite auf. Allerdings machten sich die Phisher offenbar zunutze, dass auf vielen Routern noch das Standardpasswort gesetzt war. Wie viele Anwender Opfer der Phisher wurden, ist nicht bekannt. Aber nicht immer muss ein Angreifer das Passwort des Routers kennen. Erst vergangene Woche wurden Schwachstellen in Routern bekannt, die hauptsächlich in Großbritannien verbreitet sind. Dabei lässt sich eine Cross-Site-Scripting-Lücke im Login-Dialog ausnutzen, um den Router über seine UPnP-Schnittstelle umzukonfigurieren – und UPnP verzichtet dabei auf jegliche Authentifizierung. Berichten zufolge soll der Angriff auf UPnP-Router auch ohne XSS-Lücke funktionieren. Dabei sollen spezielle Flash-Applets mittels ActionScript ebenfalls in der Lage sein, Router umzukonfigurieren, bei denen UPnP aktiviert ist. Zuvor war bereits ein Schwachstelle im beliebten Linksys-Router WRT54GL bekannt geworden, die das Problem des seit drei Jahren bekannten Session Riding beziehungsweise Cross Site Request Forgery (CSRF) verdeutlichte. Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Neben dem Abschalten der Firewall ist denkbar, dass der Angreifer die WLAN-Verschlüsselung abschaltet. Ein Posting auf Bugtraq zufolge soll dies bei dem Modell Alice Gate 2 Plus WiFi mit folgender URL ohne Authentifizierung funktionieren. http://192.168.1.1/cp06_wifi_m_nocifr.cgi?wlChannel=Auto&wlRadioEnable=on Dabei kann der Link in einer Mail, einer Webseite oder einer Chat-Nachricht steckten. Anwender sollten sich künftig mehr Gedanken über die Sicherheit ihrer Router machen. Das Argument, dass der Router ja nicht von außen erreichbar und somit kein unbefugter Zugriff möglich sei, lässt sich so nicht mehr aufrechterhalten. Grundsätzlich sollte man das Standardpasswort sofort nach der Inbetriebnahme auf ein nicht leicht zu erratendes Kennwort ändern. Bei Routern mit UPnP-Funktion sollte sich der Anwender fragen, ob er diese Funktion überhaupt benötigt und sie lieber deaktivieren. Außerdem ist es ratsam, statt des vordefinierten Subnetzes (oftmals 192.168.1.0) auf ein anderes zu wechseln (etwa 192.168.23.0), um üblichen Angriffen aus dem Weg zu gehen. Zur Wahl stehen dabei die Netze 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8 (eine Liste aller reservierten Adress-Blöcke ist hier zu finden: Special-Use IPv4 Addresses (RFC 3330). Zudem hebt man die Latte ein wenig höher, wenn der Router nicht unter .1 zu finden ist, sondern beispielsweise unter .42. Sofern der Router alle notwendigen Daten per DHCP im Netz verteilt, sollte auf den Clients keine Umkonfiguration notwendig sein. Siehe dazu auch: * Drive-by Pharming in the Wild!, Blogeintrag von Symantec * Ungewollte Fernkonfiguration für Heim-Router, Meldung auf heise Security * Präparierte Webseite schaltet Firewall im Router aus, Meldung auf heise Security (dab/c't) Quelle:http://www.heise.de/newsticker/meldung/102281 + Multi-Zitat Zitieren