Tausende IP-Adressen unsicherer Asus-Router veröffentlicht

Unbekannte haben 12.937 IP-Adressen angreifbarer Asus-Router ins Netz gestellt, um nach eigenen Angaben auf gravierende Designfehler in der Firmware und die Untätigkeit der Netzbetreiber hinzuweisen. Zugleich veröffentlichten sie 3131 Anmeldedaten für AiCloud und tausende Listen von Dateien, die darüber geteilt wurden.

Die von der vermutlich neunköpfigen Gruppe angeprangerten Sicherheitslücken waren schon am 22. Juni 2013 von Kyle Lovett gemeldet worden. Ehe Asus darauf reagierte und die fehlerbereinigte Firmware-Version 3.0.0.4.372 für seine Router bereitstellte, war bereits ein Monat vergangen. Offensichtlich haben bis heute nicht alle Anwender dieses oder ein späteres Update eingespielt. Das ist insbesondere bei privat genutzten Routern ein gängiges Problem – die meisten Anwender rühren das Gerät nicht an, so lange es seinen Dienst versieht. Immer wieder fordern Experten daher, dass die Hersteller Updates nicht nur bereitstellen, sondern aktiv verteilen.

Die Unbekannten, die nun die IP-Adressen der immer noch angreifbaren Asus-Router veröffentlicht haben, und sich selbst unter anderem „Gargamel“ und „Voldemort“ nennen, werfen Asus ebenfalls Untätigkeit vor. Sie wollen mit ihrer Aktion zudem auf die ihrer Ansicht nach dilettantischen Fehler in der Router-Software aufmerksam machen.

Erstens erlaube die Standardeinstellung für den FTP-Server eine anonyme Anmeldung. „Asus nennt dieses Feature Limitless Access Rights. Wir nennen es Wahnsinn“, schreiben sie unter dem Stichwort Asusgate. Ihre Einschätzung begründen sie damit, dass so praktisch jeder Internetnutzer Zugriff auf per USB angeschlossenen Speicher bekomme und Dateien herunterladen oder ablegen könne. Zweitens würden Nutzername und Passwort für die AiCloud im Klartext in einer ohne Log-in zum Download bereitstehenden Datei gespeichert. Das bezeichnen sie als Irrsinn.

Der Gruppe zufolge hat Asus seine Pflichten als Hersteller nicht wahrgenommen. Netzbetreiber hätten zudem ihre Netze prüfen und betroffene Kunden warnen sollen. Auch das sei nicht geschehen. Dafür, dass nun Unbeteiligte durch die Veröffentlichung in Gefahr geraten, entschuldigen sich die Hacktivisten, begründen das aber damit, dass sonst keinerlei Änderung herbeizuführen sei.

Asus war im vergangenen Jahr, ebenso wie D-Link, Linksys und Trendnet, wegen zahlreichen anderen Sicherheitslücken in WLAN-Routern in die Kritik geraten. Damals hatte das Sicherheitsunternehmen Independent Security Evaluators insgesamt 56 Schwachstellen gefunden. Sie ermöglichen Angreifern unter anderem, den gesamten Internetverkehr abzuhören. Firmenchef Jake Holcomb hatte auf der Security-Konferenz Defcon 21 anhand der Modelle Asus RT-AC66U, D-Link DIR 865L und Trendnet TEW-812DRU demonstriert, wie sich die Schwachstellen ausnutzen lassen. Laut Holcomb sind viele WLAN-Router „sehr anfällig für Angriffe“ und „nicht geeignet, um ein Netzwerk oder den digitalen Besitz zu schützen“.

Dem Experten zufolge sind durch die Lücke auch viele Nutzer von Geräten anderer Hersteller betroffen. Denn praktisch jede Person, die sich mit einem der fraglichen Router verbinde, gehe ein Risiko ein: Sobald ein Hacker Zugang zu einem WLAN-Netz habe, könne er eine der 56 Schwachstellen ausnutzen, um den zugehörigen Router zu kompromittieren und den gesamten darüber laufenden Internetverkehr abzuhören. Dass die Router auch zum Betrieb öffentlicher WLAN-Netze benutzt würden, sowie oft nur durch schwache oder mehrfach verwendete Passwörter gesichert seien, mache die Sache noch schlimmer.

Bereits im Februar 2013 hatte auch der deutsche Sicherheitsexperte Michael Messner auf erhebliche Sicherheitslücken in WLAN-Routern hingewiesen. Die darauf aufbauenden Angriffe waren relativ einfach durchzuführen. Die Schwachstellen entstanden ebenfalls durch mangelhafte Zugangsbeschränkungen und das Fehlen angemessener Validierung von Eingaben. Angreifer konnten unter anderem das Passwort ändern.

Mit Problemen bei Routern kämpft augenblicklich auch AVM. Unbekannten ist es offenbar gelungen, Zugangsdaten abzugreifen. Sie nutzen diese nun, um über AVMs Fritzboxen, die für den Fernzugriff konfiguriert sind, teure Mehrwertdienste im Ausland anzurufen. AVM empfiehlt, den Fernzugriff vorerst abzuschalten und für die Fritzboxen genutzte Passwörter zu ändern. Der deutsche Hersteller geht der Sache derzeit zusammen mit Ermittlungsbehörden nach.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de