Die technischen Details zu einer schwerwiegenden Sicherheitslücke in Linksys-Router wurden in den USA jetzt bekannt gegeben. Die von einem neuartigen Wurm hervorgerufene Gefährdung wurde vom Entdecker in einem Proof-of-Concept-Exploit (Machbarkeitsnachweis) bewiesen. Die Liste der potenziell gefährdeten Geräte ist größer als zunächst angenommen.
Angriffe über die Sicherheitslücken
Wie die amerikanische Computer-Zeitschrift PC World Mitte Februar berichtete, gelang es Sicherheitsforschern des Internet Storm Centers am SANS-Institut ein neuartiges sich selbst replizierendes Malware-Programm zu identifizieren, das eine Umgehungsmöglichkeit bei der Authentifizierung bei einem Linksys-Router ausnutzt. Der neue Wurm wurde TheMoon genannt.
In einem ersten Bericht ermittelten Forscher mit Hilfe eines Vulnerability Intelligence Manager eine Sicherheitslücke in einem CGI-Skript, das Teil der Verwaltungsschnittstelle bei mehreren Linksys-Routern der E-Serie ist. Kurze Zeit später veröffentlichte ein Benutzer auf Reddit die Namen von vier CGI-Skripten, die anfällig für den Wurmangriff sind. Zumindest bei zwei dieser Skripte wurde eine Sicherheitslücke nachgewiesen. Bei Linksys hatte man vergeblich gehofft, dass diese Sicherheitslücken so lange unter Verschluss geblieben wären, bis ein Firmware-Patch vorliegt. Der Exploit enthält auch eine Liste der Linksys-Router, die durch den TheMoon-Wurm gefährdet sein könnten. Entgegen früherer Annahmen handelt es sich nicht nur um Geräte der E-Serie, nach dieser Liste sind auch die drahtlosen Router der N-Serie gefährdet. Nach neusten Erkenntnissen sind in dieser Liste folgende Router aufgeführt: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N und WRT150N. Diese Liste ist möglicherweise nicht vollständig.
Die Bedrohung ist real
Linksys-Inhaber Belkin bestätigte, dass auch einige Wireless Router der N-Serie betroffen sind, wollte aber die genauen Modelle nicht nennen. Wie eine Firmensprecherin inzwischen bestätigte, geht Linksys davon aus, dass von der Sicherheitslücke vor allem ältere Router der E-Serie und ältere Modelle der Wireless Router und Access Points der N-Serie betroffen sind. Die vom Wurm verwendete Umgehung der Administrator-Authentifizierung ist außerdem nur möglich wenn der Remote-Management Zugriff aktiviert ist. Standardmäßig ist diese Funktion deaktiviert. Die Sprecherin wies außerdem darauf hin, dass Anwender die Remote Funktion ganz einfach deaktivieren können. Der Wurm wird scheinbar nicht dauerhaft gespeichert, nach einem Neustart des Routers deutet nichts mehr darauf hin, dass die Malware noch aktiv ist.
Auf ihren Webseiten hat das Unternehmen außerdem Anweisungen veröffentlicht, wie die neueste Firmware Version zu installieren und wie die Remote Funktion auszuschalten ist. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät auf ihrer Webseite dringend zum Firmware Update. Die Deaktivierung der Remote Funktion ist sicher nicht für Administratoren möglich, welche die Geräte an entfernten Standort verwalten und warten müssen, es scheint aber bisher die einzige Möglichkeit zu sein, den Wurm loszuwerden. Für alle betroffenen Geräte plant Linksys in den nächsten Wochen ein Firmware Update. Die Veröffentlichung des Proof-of-Concept-Exploits machte einmal mehr deutlich, wie anfällig Router auf gezielte Angriffe wie durch den TheMoon-Wurm sind. Cyberkriminelle führen inzwischen Attacken auf Home Router durch. Die Gefahren zum Beispiel beim Online Banking sind nicht nur theoretischer Natur.