[datensicherheit.de, 24.02.2025] „Hat sich Ihre Internetverbindung plötzlich verlangsamt? Sehen Sie ungewöhnliche Pop-ups oder unbekannte Geräte in Ihrem Netzwerk? Ihr Router könnte gehackt worden sein – und Ihre persönlichen Daten sind in Gefahr!“, warnt Panda Security in einer aktuellen Stellungnahme. Cyber-Kriminelle greifen demnach zunehmend Heimrouter an, um sensible Informationen zu stehlen, Internetsitzungen zu kapern oder Schadsoftware auf verbundene Geräte zu installieren. Ein kompromittierter Router könne private Daten, Finanzinformationen und Online-Aktivitäten preisgeben – „und das alles, ohne dass Sie es bemerken“.

Auswahl an Warnsignalen, welche darauf hindeuten, dass der eigene Router evtl. kompromittiert wurde

In der neuesten Untersuchung seien Warnsignale identifiziert worden, welche darauf hinweisen könnten, dass der eigene Router gehackt wurde. Dazu gehören laut Panda Security u.a.:

Verdächtige IP-Adressen im Netzwerk
Unbekannte Geräte in der Admin-Konsole Ihres Routers könnten auf unbefugten Zugriff hindeuten.

Ransomware-E-Mails oder Drohungen
Cyber-Kriminelle könnten Ihr Netzwerk nutzen, um sensible Daten abzufangen.

Unerklärlich langsames Internet
Hacker könnten Ihre Bandbreite für illegale Aktivitäten missbrauchen.

Probleme mit dem Router-Login oder geänderte Zugangsdaten
Falls Sie sich nicht mehr anmelden können, wurde Ihr Router möglicherweise gekapert.

Gefälschte Antivirus-Pop-ups und Weiterleitungen im Browser
Hinweise auf DNS-Hijacking, bei dem Angreifer Ihren Internetverkehr manipulieren.

Die o.g. und weitere Warnsignale könnten darauf hindeuten, dass der eigene Router kompromittiert wurde – „wodurch Hacker möglicherweise Ihre Aktivitäten verfolgen, persönliche Daten stehlen oder sogar Cyber-Angriffe über Ihr Netzwerk starten können“.

Im Fall der Fälle: Auswahl an sofortigen Maßnahmen bei gehacktem Router

„Was tun, wenn Ihr Router gehackt wurde?“ Panda Security benennt eine Auswahl an sofortigen Maßnahmen, welche bei einem Verdacht ergriffen werden sollten sowie generelle und bewährte Sicherheitsmaßnahmen, um das eigene Heimnetzwerk zu schützen:

Router trennen und zurücksetzen
Trennen Sie sofort Ihren Router vom Stromnetz, um verdächtige Aktivitäten zu stoppen!

Alle Passwörter ändern
Aktualisieren Sie Ihre WLAN- und Router-Anmeldedaten mit starken, einzigartigen Passwörtern!

Router-Firmware aktualisieren
Sicherheitsupdates schließen bekannte Sicherheitslücken, die Hacker ausnutzen können!

Auf Malware prüfen
Scannen Sie alle verbundenen Geräte nach verdächtigen Anwendungen oder unautorisierter Software!

Tipps, um Router-Hacks in Zukunft zu verhindern:

Verwendung einer WPA2- oder WPA3-Verschlüsselung
Ältere WEP-Sicherheit ist äußerst anfällig für Angriffe.

Deaktivierung des Fernzugriffs
Verhindern Sie, dass Hacker Ihren Router aus der Ferne kontrollieren können!

Regelmäßige Überwachen des Netzwerks
Behalten Sie verbundene Geräte im Blick und blockieren Sie unbekannte Zugriffe!

Nutzung von Sicherheitssoftware
Firewalls und spezielle Sicherheitstools helfen dabei, Bedrohungen zu erkennen und zu blockieren!

Panda Security gibt abschließend zu bedenken: „Ein kompromittierter Router kann als Einfallstor für Hacker dienen, um Zugriff auf Ihre Geräte, Passwörter und persönlichen Daten zu erhalten. Selbst wenn Sie denken, dass Ihr Netzwerk sicher ist, bleiben viele Router-Angriffe unbemerkt – bis es zu spät ist!“

Weitere Informationen zum Thema:

panda, 30.01.2025
How to Tell If Someone Hacked Your Router: 10 Signs + Tips

datensicherheit.de, 09.06.2022
Router: 87 kritische Sicherheitslücken entdeckt / 73% denken dennoch nicht darüber nach, ihren Router aufzurüsten oder zu schützen

datensicherheit.de, 02.07.2020
Router: Gravierende Sicherheitsmängel als Standard / Rainer M. Richter kommentiert aktuelle Erkenntnisss des Fraunhofer-Instituts FKIE

datensicherheit.de, 16.11.2018
Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router / Durch die zunehmender Digitalisierung hält das Internet der Dinge Einzug in Privathaushalte

datensicherheit.de, 29.11.2016
Angriff auf Router von Telekom-Kunden zeigt Verletzbarkeit der IKT-Infrastruktur / G DATA warnt: Angriffe auf Router lohnen sich!

[datensicherheit.de, 09.06.2022] Laut einer aktuellen Kaspersky-Studie sind im vergangenen Jahr – 2021 – über 500 Schwachstellen in Routern identifiziert worden, Doch fast drei Viertel der Nutzer (73%) denken demnach dennoch nicht darüber nach, ihren Router aufzurüsten oder zu schützen.

Router eine der größten Bedrohung des IoT

Täglich würden Millionen neue Router in Privathaushalten und an Arbeitsplätzen für WLAN-Verbindungen eingerichtet. Laut der aktuellen Kaspersky-Analyse seien im Jahr 2021 insgesamt über 500 Schwachstellen in Routern entdeckt worden – darunter 87 kritische.

„Die Bedrohungen, welche von anfälligen Routern ausgehen, reichen von E-Mail-Kompromittierung bei Privatanwendern und in Unternehmen bis hin zur physischen Sicherheit von Haushalten.“

Dennoch hätten laut der aktuellen Kaspersky-Studie 73 Prozent noch nie darüber nachgedacht, ihren Router aufzurüsten oder zu schützen. „Dies macht diese Geräte zu einer der größten Bedrohung des ,Internet of Things‘.“

Router als Knotenpunkt eines Heimnetzwerks

Router seien der Knotenpunkt eines Heimnetzwerks, über welchen alle Geräte eines „Smart Home“ auf das Internet zugriffen und Daten austauschten. „Durch die Infizierung eines Routers verschaffen sich Angreifer Zugriff auf dieses Netzwerk, über das Daten übertragen werden.“

So könnten sie Malware auf den angeschlossenen Computern und Endgeräten installieren, um sensible Daten, private Fotos oder Geschäftsdateien zu stehlen – und dem Nutzer möglicherweise irreparablen Schaden zuzufügen. Angreifer könnten zudem Anwender auf Phishing-Seiten umleiten, die sich als häufig genutzte Webmail- oder Online-Banking-Seiten tarnen.

„Alle Daten, die auf diesen Seiten eingegeben werden – seien es Zugangsdaten, Passwörter oder Bankkarteninformationen –, gelangen dann in die Hände der Cyber-Kriminellen.“

Cyber-Kriminelle können Authentifizierung umgehen, Fernbefehle an einen Router senden oder ihn sogar außer Gefecht setzen

2020 sei die Zahl der entdeckten Schwachstellen auf 603 gestiegen, etwa dreimal so viele wie im Jahr davor. 2021 sei die Zahl der entdeckten Sicherheitslücken mit 506 ähnlich hoch gewesen. Von allen in diesem Zeitraum entdeckten Sicherheitslücken seien 87 kritisch gewesen. Durch solche Schwachstellen könnten Cyber-Kriminelle die Authentifizierung umgehen, Fernbefehle an einen Router senden oder ihn sogar außer Gefecht setzen.

„Obwohl Forscher inzwischen auf viel mehr gefundene Schwachstellen aufmerksam machen als früher, gehören Router nach wie vor zu den am wenigsten gesicherten technischen Geräten. Einer der Gründe dafür ist, dass einige Hersteller bestehende Gefahren nicht unmittelbar beseitigen.“ So seien fast ein Drittel der im Jahr 2021 entdeckten kritischen Sicherheitslücken ohne jegliche Reaktion seitens der Hersteller bestehen geblieben. „Sie veröffentlichten weder Patches noch Empfehlungen. Bei weiteren 26 Prozent solcher Schwachstellen wurde lediglich die Empfehlung ausgesprochen, den technischen Support zu kontaktieren.“

Neben einer zunehmenden Aktivität von Angreifern verfügten Privatnutzer und kleine Unternehmen zumeist nicht über das Fachwissen oder die Ressourcen, um eine Bedrohung rechtzeitig zu erkennen und Schaden abzuwenden. Die Tatsache, dass nahezu drei Viertel der Anwender (73%) noch nie darüber nachgedacht hätten, ihren Router aufzurüsten, stelle insbesondere in sensiblen Umgebungen wie Krankenhäusern oder Regierungsgebäuden ein Risiko dar, „da dort ein Datenleck möglicherweise schwerwiegende Auswirkungen haben kann“.

Viele Menschen arbeiten im Home-Office – aber die Sicherheit der Router hat sich nicht verbessert

„Viele Menschen arbeiten seit zwei Jahren von zu Hause aus, aber die Sicherheit von Routern hat sich in dieser Zeit nicht verbessert, da sie selten upgedated werden“, berichtet Maria Namestnikova, Leiterin des russischen „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Daher bestehe auch aktuell weiterhin die Gefahr, dass Schwachstellen in Routern von Cyber-Kriminellen ausgenutzt würden.

Es sei wichtig, einer Bedrohung so früh wie möglich vorzubeugen, da ein Angriff häufig erst als solcher erkannt werde, „wenn es schon zu spät ist und relevante Daten oder finanzielle Mittel bereits entwendet wurden“.

Wenn ein Router erworben wird, sollte die Netzwerksicherheit genauso wichtig sein wie die Geschwindigkeit der Datenübertragung. Nutzer sollten Produktbewertungen lesen und darauf achten, wie schnell Hersteller auf Bedrohungen reagieren. „Außerdem sollten sie ihre Geräte aktualisieren, sobald Patches verfügbar sind, um den Verlust von sensiblen Daten und Geld vorzubeugen“, rät Namestnikova.

Kaspersky gibt Tipps zum Schutz für Router:

• Gebrauchte smarte Geräte zu kaufen, sei unsicher, da deren Firmware von den Vorbesitzern verändert worden sein könnte, um Angreifern die volle Kontrolle über ein „Smart Home“ zu ermöglichen.
• Stets das Standardpasswort in ein komplexes Passwort ändern!
• Sowohl Anwendungen als auch Geräte stets auf dem aktuellen Stand halten und Updates dafür zeitnah installieren!
• Seriennummern, IP-Adressen oder andere sensible Informationen der intelligenten Geräte niemals weitergegeben, schon gar nicht in Sozialen Netzwerken!
• WPA2-Verschlüsselung nutzen, da sie die sicherste Form der Datenübertragung darstelle!
• Den Fernzugriff in den Einstellungen des Routers deaktivieren, sofern er nicht genutzt wird!
• Eine statische IP-Adresse wählen, DHCP deaktivieren sowie das eigene WLAN mit einem MAC-Filter schützen! „Diese Maßnahmen führen zwar dazu, dass die Verbindung verschiedener zusätzlicher Geräte mit dem Router manuell konfiguriert werden muss und der Prozess dadurch länger und komplexer wird, es macht es jedoch auch wesentlich schwieriger, in das lokale Netzwerk einzudringen.“
• Eine spezielle Sicherheitslösung installieren, um das Heimnetzwerk und alle angeschlossenen Geräte vor Cyber-Bedrohungen zu schützen!

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 08.06.2022
Router security in 2021

datensicherheit.de, 03.08.2021
Warnung von Tenable: Millionen anfälliger ungeschützter Router / Tenable weist auf Risiko von Software-Bibliotheken hin

datensicherheit.de, 02.07.2020
Router: Gravierende Sicherheitsmängel als Standard / Rainer M. Richter kommentiert aktuelle Erkenntnisss des Fraunhofer-Instituts FKIE

datensicherheit.de, 27.06.2020
Fast alle getesteten Router mit Sicherheitsmängeln / „Home Router Security Report 2020“ vom Fraunhofer FKIE veröffentlicht

[datensicherheit.de, 06.08.2021] Anlässlich der jüngsten Meldung von Cisco zu Sicherheitsschwachstellen in VPN-Routern bezieht Satnam Narang, „Staff Research Engineer“ bei Tenable, Stellung und rät entweder zu patchen oder die Remote-Management-Funktion zu deaktivieren.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang warnt: Angreifer könnte beliebigen Code ausführen oder Reload des anfälligen Geräts erzwingen!

Schwachstellen in der Web-Management-Oberfläche der Small Business VPN-Router von Cisco

„Cisco hat soeben mehrere Schwachstellen in seinen VPN-Routern für kleine Unternehmen – RV340, RV340W, RV345 und RV345P – behoben. Die Schwachstellen befinden sich in der Web-Management-Oberfläche dieser ,Small Business VPN‘-Router“, berichtet Narang.
Die kritischste der beiden Schwachstellen, „CVE-2021-1609“, könnte es einem entfernten, nicht authentifizierten Angreifer ermöglichen, eine speziell gestaltete HTTP-Anfrage an ein anfälliges Gerät zu senden. Damit könnte er beliebigen Code ausführen oder einen „Reload“ des anfälligen Geräts erzwingen und damit einen „Denial-of-Service“ herbeiführen.

Unternehmen mit Small Business VPN-Routern von Cisco sollten umgehend patchen

„Ein wichtiger Unterschied ist, dass die Web-Management-Oberfläche standardmäßig lokal zugänglich ist und nicht deaktiviert werden kann, aber standardmäßig nicht für die Fernverwaltung aktiviert ist“, so Narang. Auf der Grundlage von Abfragen über „BinaryEdge“ hätten sie jedoch bestätigt, dass es mindestens 8.850 Geräte gebe, auf die aus der Ferne zugegriffen werden könne. Obwohl derzeit kein „Proof-of-Concept-Exploit“ für diese Schwachstellen verfügbar sei, wüssten sie aus der Vergangenheit, dass Angreifer bevorzugt auf Schwachstellen in VPN-Geräten wie „Pulse Secure“, „Citrix“ und „Fortinet“ abzielten.
„Unternehmen, welche diese ,Small Business VPN‘-Router von Cisco einsetzen und ihre Management-Oberfläche nach außen hin offengelegt haben, können diese Schwachstellen durch Patches für ihre Geräte beheben.“ Wenn ein Patching zu diesem Zeitpunkt nicht möglich sei, könne das Deaktivieren der Fernverwaltungsoption auf diesen Geräten die Schwachstellen entschärfen, „bis Patches angewendet werden können“, rät Narang.

[datensicherheit.de, 03.08.2021] Tenable hat nach eigenen Angaben am 3. August 2021 auf ein branchenweites Sicherheitsproblem hingewiesen, welches „durch die Wiederverwendung von anfälligem Software-Code durch Hersteller entsteht“. Tenable Research hat demnach zuvor „eine zwölf Jahre alte Schwachstelle [CVE-2021-20090] entdeckt“, welche möglicherweise Millionen von Routern bei Dutzenden von Herstellern angreifbar machen könnte. Die schiere Anzahl der betroffenen Hersteller und Geräte lenke die Aufmerksamkeit auf ein branchenweites Problem – „die erheblichen nachgelagerten Auswirkungen von wiederverwendetem anfälligem Software-Code“.

Tenable: Schwachstelle Path Traversal / Authentication Bypass betrifft 20 Geräte von 17 Herstellern in elf Ländern

„Tenable hat festgestellt, dass die ,Path Traversal / Authentication Bypass‘-Schwachstelle mindestens 20 Geräte von 17 verschiedenen Herstellern in elf Ländern betrifft, darunter Internet-Service-Provider (ISPs) in Argentinien, Australien, Kanada, Deutschland, Japan, Mexiko, den Niederlanden, Neuseeland, Russland, Spanien und den USA.“ Wenn diese Schwachstelle ausgenutzt wird, könnte jemand die Gerätekonfiguration ändern, um Endbenutzern bösartige Inhalte zu liefern oder Geräte anzugreifen, welche mit dem LAN des Routers verbunden sind.
„Wenn der Angreifer motiviert ist, könnte er die Umgehung der Authentifizierung auch ausnutzen, um Zugriff auf Funktionen zu erhalten, die ihn eher zu einer anderen Schwachstelle führen, wie CVE-2021-20091.“ Dabei handele es sich um eine sogenannte Configuration-Injection-Schwachstelle, welche in den ersten untersuchten Buffalo-Router-Modellen entdeckt worden sei und die einem Angreifer Root-Zugriff auf das Gerät ermöglichen könnte.

Tenable ruft Anbieter zu Maßnahmen auf, um Auswirkungen der Schwachstellen auf sich selbst und Kunden abzumildern

In Anbetracht des gegenwärtigen Trends zu einer dezentralen, von zu Hause aus arbeitenden Belegschaft wirke sich dies nicht nur auf Verbraucher aus, sondern habe auch das Potenzial, Unternehmen weiteren unkontrollierten Risiken auszusetzen. „Verbraucher sollten sich keine Sorgen machen müssen, dass ihr vom ISP bereitgestelltes Gerät sie oder ihre Arbeitgeber angreifbar macht“, betont Evan Grant, „Staff Research Engineer“ bei Tenable.
Die betroffenen Anbieter sollten Maßnahmen ergreifen, um die Auswirkungen dieser Schwachstellen auf sich selbst und ihre Kunden abzumildern, fordert Grant und fasst abschließend zusammen: „Darüber hinaus ist die Zusammenarbeit aller Beteiligten – Hersteller, Anbieter und Sicherheitsforscher – unerlässlich, um die Schwierigkeiten bei der Meldung von Schwachstellen in gemeinsam genutzten Software-Bibliotheken zu überwinden und die Schwachstelle auf allen betroffenen Produkten effizient zu beheben.“

Weitere Informationen zum Thema:

tenable
Multiple Vulnerabilities in Buffalo and Arcadyan manufactured routers

tenable, Evan Grant, 03.08.2021
Bypassing Authentication on Arcadyan Routers with CVE-2021–20090 and rooting some Buffalo

[datensicherheit.de, 02.07.2020] „Obwohl Security-Experten seit Jahren regelmäßig gefährliche Sicherheitslücken in Routern aufdecken und nachdrücklich vor den damit verbundenen Risiken warnen, bleiben die Hersteller davon scheinbar unbeeindruckt“, kritisiert Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH, in seiner aktuellen Stellungnahme. Anders lässt es sich demnach nicht erklären, dass Sicherheitsforscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in einer Überprüfung von 127 verschiedenen Home-Routern jüngst „erneut inakzeptable Schwachstellen“ wie voreingestellte Hersteller-Passwörter, fehlende Exploit-Schutzmaßnahmen oder private Krypto-Schlüssel gefunden haben. Für die Nutzer der Geräte bedeute dies letztlich, dass sie selbst aktiv werden und nach Schwachstellen suchen müssten, „wenn sie ihre Cyber-Angriffsfläche reduzieren wollen“, so Richter.

Foto: SEC Technologies GmbH

Rainer M. Richter: Nutzer von IoT-Geräten müssen selbst aktiv werden und Sicherheitslücken identifizieren!

Erinnerung an „Mirai“-Attacken auf Router im Jahr 2016

Welche Gefahren Router-Schwachstellen nach sich ziehen, sollte spätestens seit den großangelegten „Mirai“-Attacken im Jahr 2016 jedermann verstanden haben (diese „Linux“-Schadsoftware hatte damals IoT-Geräte gezielt nach Sicherheitslücken gescannt, infiziert und anschließend über Bot-Netze flächendeckend lahmgelegt).
Richter erinnert an den Vorfall: „Betroffen waren unter anderem auch Hunderttausende Router der Deutschen Telekom. Und auch im vergangenen Jahr waren Telekom-Router negativ in den Schlagzeilen, als eine einfache Fehlkonfiguration eines Ports einen schweren Datenschutzvorfall verursacht hatte, der rund 30.000 sensible Patientendaten über einen ,Windows‘-Server für jedermann im Internet frei zugänglich gemacht hat.“

Hersteller von Routern und anderen IoT-Geräten wissen nun seit Jahren von Schwachstellen

Für zu viele Hersteller von IoT-Geräten habe Sicherheit nach wie vor keine Priorität – wenn die Hersteller von IoT-Geräten (denn das Problem beschränke sich leider nicht nur auf Router) nun seit Jahren von den anhaltenden Schwachstellen wüssten, „stellt sich die Frage, warum sie überhaupt nicht oder nur spärlich handeln“.
Eine Erklärung ist laut Richter, dass für viele von ihnen eine günstige Entwicklung und schnelle Time-to-Market oberste Priorität hat, was dazu führt, dass eine wirksame Überprüfung auf mögliche Sicherheitslücken vernachlässigt wird bzw. das Entfernen von bekannten Schwachstellen unter den Tisch fällt.
Richter: „Nicht ganz so einfach zu erklären ist, warum die Hersteller auf Hinweise von Nutzern oder externen Sicherheitsanalysten, die Schwachstellen in ihren IoT-Geräten identifiziert haben, in vielen Fällen ablehnend, ja sogar drohend reagieren, anstatt das Gespräch zu suchen und gemeinsam an zufriedenstellenden Lösungen zu arbeiten.“

IoT-Schwachstellenbehebung: Reaktion schädlicher als Prävention

Dabei gingen sie ein hohes Risiko ein: Abgesehen von drohenden Reputationsschäden im Fall von Cyber-Vorfällen oder Datenschutzverletzungen, müssten sie sich bewusst machen, dass eine nachträgliche Behebung von Sicherheitslücken – zum Beispiel in Hunderttausenden, weltweit eingesetzten IoT-Komponenten – sie mehr kosten werde als eine frühzeitige Analyse und eventuelle Schwachstellenbehebung vor dem Rollout.
Solange die Hersteller selbst nicht aktiv werden und für ausreichend Sicherheit ihrer Kunden und derer Systeme und Daten sorgen, liege es letztlich an den Nutzern und auch Serviceprovidern selbst, für Transparenz zu sorgen und potenzielle Verwundbarkeiten in den eingesetzten Geräten aufzudecken.
Dabei müssten sie sich zunächst bewusst machen, welche Risiken von IoT-Devices – dazu zählen neben Routern klassischerweise auch Drucker, IP-Kameras, VoIP Telefone oder Thermostate – tatsächlich ausgehen. „Die Router-Analyse des FKIE bietet hier Augen öffnende Einblicke: So basiert ein Drittel der getesteten Geräte auf ,Linux‘-Kernelversionen, die seit über neun Jahren keine Sicherheitsupdates mehr bekommen. Zudem fanden die Forscher durchschnittlich knapp fünf private Krypto-Schlüssel pro untersuchtem Firmware-Image sowie werksseitig voreingestellte Passwörter, die teilweise nirgends aufgeführt sind.“

IoT-Firmware-Schwachstellen: Anwender müssen selbst aktiv werden!

Wer sich und sein Unternehmen diesen Risiken nicht blindlings aussetzen möchte, „dem ist angeraten, selbst aktiv zu werden und nach Schwachstellen in den eingesetzten IoT-Devices zu suchen. Schon heute stehen Unternehmen, Infrastrukturanbietern, Herstellern und IT-Beratern automatisierte Analyse-Tools und -Plattformen zur Verfügung, die Transparenz darüber bieten, was sich in einem Firmware-Image befindet und klassische IoT-Firmware-Schwachstellen wie Lücken in der Systemkonfiguration, festeingestellte Passwörter oder SSH Host-Keys sichtbar machen.“
Fortschrittliche Werkzeuge seien dabei auch mit den gängigen internationalen Sicherheitsstandards für IoT-Geräte – man denke an die „ENISA Baseline Security Recommendations for IoT“ oder die „IoT-Richtlinien“ des Deutschen Instituts für Normung – vertraut und somit in der Lage, anzuzeigen, ob die Geräte gegen Compliance-Vorschriften der jeweiligen Branche verstoßen.
Da ein Umdenken und eine größere Sicherheitsverantwortung von Seiten der Hersteller auch in der nächsten Zeit eher nicht zu erwarten sei, sollte eine selbstständige Analyse der IoT-Firmware für viele Unternehmen und Provider zur Selbstverständlichkeit werden. „Nur so können Sicherheitsmaßnahmen an den Gefahren angepasst und die Cyber-Angriffsfläche minimiert werden“, unterstreicht Richter.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2020
The IoT is broken – gebrechlich aber heilbar / Neuer TÜV SÜD-Podcast „Safety First“ mit Mirko Ross

datensicherheit.de, 27.06.2020
Fast alle getesteten Router mit Sicherheitsmängeln / „Home Router Security Report 2020“ vom Fraunhofer FKIE veröffentlicht

datensicherheit.de, 29.11.2016
Angriff auf Router von Telekom-Kunden zeigt Verletzbarkeit der IKT-Infrastruktur / G DATA warnt: Angriffe auf Router lohnen sich!

[datensicherheit.de, 27.06.2020] Laut einer aktuellen Stellungnahme vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) sind es „alarmierende Ergebnisse“, welche am 26. Juni 2020 im eigenen aktuellen „Home Router Security Report 2020“ veröffentlicht wurden: Bei fast allen Geräten von insgesamt 127 getesteten Routern für Privatnutzer von sieben großen Herstellern seien Sicherheitsmängel festgestellt worden – „teilweise sogar ganz erhebliche“.

Abbildung: Fraunhofer FKIE

Alarmierende Ergebnisse im „Home Router Security Report 2020“

Router mit fehlenden Sicherheitsupdates, hartcodierten Passwörtern…

Diese Sicherheitsmängel reichten von fehlenden Sicherheitsupdates, über einfach zu entschlüsselnde, hartcodierte Passwörter bis hin zu bereits bekannten Schwachstellen, die eigentlich längst behoben sein müssten.
In dem gerade veröffentlichten „Home Router Security Report 2020“ vom Fraunhofer FKIE machen nach eigenen Angaben IT-Experten aus der Abteilung „Cyber Analysis & Defense“ auf zum Teil ganz erhebliche Sicherheitsmängel bei Home-Routern aufmerksam.
Mithilfe des vom Fraunhofer FKIE entwickelten „Firmware Analysis and Comparison Tools“ (FACT) seien diese Mängel entschlüsselt und aufgezeigt worden – mit dem Ergebnis: „Sämtliche der 127 getesteten Home Router wiesen Schwachstellen auf.“

Auswertung ergab, dass kein einziger Router ohne Fehler war

Per Stichtag 27. März 2020 hatte sich demnach das Team von Peter Weidenbach und Johannes vom Dorp aus der Abteilung „Cyber Analysis & Defense“ des Fraunhofer FKIE die neueste verfügbare Software heruntergeladen – diese werde auch seitens der Hersteller den Kunden angeboten, die einen dieser 127 Router zu Hause als Privatnutzer verwenden.
„Die Auswertung hat ergeben, dass kein einziger Router ohne Fehler war. Manche waren sogar von Hunderten bekannter Schwachstellen betroffen. 46 Router hatten in den letzten zwölf Monaten kein Sicherheitsupdate erhalten“, erläutert IT-Security-Experte und FKIE-Wissenschaftler Weidenbach. Der Extremfall unter den geprüften Geräten habe „sogar 2.000 Tage lang kein Sicherheitsupdate mehr erhalten“.
Verschiedene Sicherheitsaspekte hätten für die FKIE-Wissenschaftler für ihren Bericht im Fokus gestanden, darunter neben den Sicherheitsupdates auch die Frage, welche Betriebssystemversionen verwendet werden und inwieweit kritische Sicherheitslücken diese Versionen beeinflussen.

Mehr als 90 Prozent der getesteten Router nutzten alte Versionen von Linux

Mehr als 90 Prozent der getesteten Home-Router setzten „Linux“ als Betriebssystem ein – allerdings würden oftmals sehr alte Versionen genutzt.
An dieser Stelle macht vom Dorp den Herstellern auch den größten Vorwurf: „,Linux‘ arbeitet permanent daran, Sicherheitslücken in seinem Betriebssystem zu schließen und neue Funktionalitäten zu erarbeiten. Die Hersteller müssten eigentlich nur die aktuellste Software aufspielen, aber sie integrieren diese nicht in dem Maße, wie sie es könnten und müssten.“
Auch der Umgang mit dem Thema Passwörter habe die FKIE-Wissenschaftler erstaunt: „Etliche Router haben einfach zu knackende oder bekannte Passwörter bzw. hartcodierte Anmeldedaten, die vom Benutzer auch nicht geändert werden können.“ Gleichzeitig hätten sie zahlreiche Sicherheitslücken entdeckt, „die schon lange bekannt sind und die Hersteller längst hätten beseitigen müssen“.

Router-Hersteller müssten mehr Anstrengungen unternehmen

Für Weidenbach völlig unverständlich ist demnach, dass seitens der Hersteller von Home-Routern die von ihm und seinem Team behandelten Sicherheitsaspekte nicht deutlich mehr im Fokus stehen. „Man erkennt sofort, dass die Anbieter völlig unterschiedlich mit vorhandenen Sicherheitslücken und deren Beseitigung umgehen.“
So lege z.B. AVM mehr Wert auf Sicherheitsaspekte als die anderen Anbieter, auch wenn AVM-Router ebenfalls nicht ohne Sicherheitsmängel seien. Gleichzeitig seien ASUS und Netgear in einigen Punkten zuverlässiger als D-Link, Linksys, TP-Link und Zyxel.
„Unser Test hat gezeigt, dass eine groß angelegte automatisierte Sicherheitsanalyse von Home-Routern durchaus möglich ist. Und die Vielzahl der aufgeführten Schwachstellen zeigt, dass die Hersteller noch viel mehr Anstrengungen unternehmen müssen, um die Geräte deutlich sicherer zu machen“, unterstreicht vom Dorp.

Weitere Informationen zum Thema:

Fraunhofer FKIE, 26.06.2020
Home Router Security Report 2020

datensicherheit.de, 16.11.2018
Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router

datensicherheit.de, 04.09.2017
Studie: Bedrohungslage durch Hardware-Trojaner

[datensicherheit.de, 15.05.2019] ESET Forscher haben eine neue Form des Schadprogramms Plead entdeckt. Dieser manipuliert Router und wird für Man-in-the-Middle-Angriffe (MitM) gegen den Cloud-Speicherdienst Asus WebStorage eingesetzt. Erste Attacken auf Unternehmen wurden bereits Ende April 2019 festgestellt. Um die Backdoor Plead einzuschleusen, verschaffen sich die Angreifer Zugriff auf den Router und nutzen dazu eine von Asus digital signierte Datei für den Cloud-Dienst. Über den Update-Prozess des Programms können Cyberkriminelle die Infektion des Rechners mit Plead durchführen. Die neue Aktivität der Malware wurden zunächst in Taiwan festgestellt. Es ist davon auszugehen, dass die Angriffsmethode bald auch anderswo Anwendung findet. ESET hat Asus bereits über die aktuellen Erkenntnisse informiert. Ihre Ergebnisse haben die Experten in einem Artikel auf WeLiveSecurity veröffentlicht.

„Der aktuelle Fall zeigt erneut, dass Softwareentwickler ihre Arbeitsumgebung ständig nach potentiellen Eindringlingen überwachen und die Update-Prozesse in ihren Programmen verschlüsselt stattfinden müssen“, erklärt Thomas Uhlemann, ESET Security Specialist.

Unverschlüsselter Updateprozess bietet Angriffsfläche

In den meisten der betroffenen Unternehmen sind Router von Asus im Einsatz, die über das Internet erreichbar sind. Daher müssen Angreifer im ersten Schritt Zugriff auf den Router erhalten und diesen kompromittieren. Dies erfolgt über die Software des Cloud-Speicherdienstes Asus WebStorage, die Updates unverschlüsselt anfragt und empfängt.  Zudem wird die Authentizität der Aktualisierung wird nicht geprüft. Hier setzen die Angreifer an und können schadhafte Updates verteilen. Gelingt dieser Eingriff, wird der Rechner mit Plead infiziert. Aus diesem Grund sind die Experten überzeugt, dass ein MitM-Angriff auf Router-Ebene das wahrscheinlichste Szenario ist. Weitere Untersuchungen der ESET-Forscher haben ergeben, dass das Schadprogramm Plead auch Router kompromittiert und sie als Command & Control Server missbraucht.

Backdoor Plead

Die Backdoor Plead ist für ESET-Forscher ein alter Bekannter. Bereits 2018 machte das Schadprogramm und die Gruppe dahinter auf sich aufmerksam. Mit gestohlenen Zertifikaten sollten Anwender getäuscht und zur Ausführung von Schadsoftware verleitet werden. Hierzu wurden beispielsweise digitale Signaturen anderer Unternehmen missbraucht, unter anderem von D-Link.

Weitere Informationen zum Thema:

WeLiveSecurity
Plead Malware nimmt ASUS WebStorage ins Visier

datensicherheit.de, 13.05.2019
ESET Sicherheitswarnung: Sicherheitslücke in WhatsApp zwingt Nutzer zum Eingreifen

datensicherheit.de, 02.05.2019
ESET Sicherheitswarnung: D-Link-Webcam angreifbar

[datensicherheit.de, 09.03.2018] KASPERSKY lab hat nach eigenen Angaben eine hochentwickelten Form der Cyber-Spionage entdeckt, die demnach mindestens seit 2012 im Nahen Osten sowie in Afrika ihr Unwesen treibt: Die Malware „Slingshot“ attackiere und infiziere ihre Opfer über kompromittierte Router. „Slingshot“ sei in der Lage, im Kernel-Modus zu laufen und erhalte somit vollständige Kontrolle über infizierte Geräte. Laut KASPERSKY lab nutzt der Bedrohungsakteur einige einzigartige Techniken. So würden Informationen heimlich und effektiv ausgespäht, indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden könne.

Experten stießen auf hochentwickelten Eindringling

Der „Operation Slingshot“ seien die Experten über den Fund eines verdächtigen Keylogger-Programms auf die Spur gekommen.
Diese hätten eine Signatur zur Verhaltenserkennung erzeugt, um eine weitere Existenz des Codes zu überprüfen. So sei ein infizierter Rechner ausgemacht worden, der in einem Systemordner eine verdächtige Datei mit dem Namen „scesrv.dll“ aufgewiesen habe. Die weitere Untersuchung dieser Datei habe ergeben, dass schädlicher Code in dieses Modul eingebettet gewesen sei.
Da die Bibliothek von „services.exe“, einem Prozess mit Systemrechten, geladen werde, verfüge auch sie über die entsprechenden Berechtigungen. Das Resultat: Die Experten seien auf einen hochentwickelten Eindringling gestoßen, der seinen Weg in das Innerste des Rechners gefunden habe.

Ursprünglicher Infektionsweg der Router bislang unklar

Die bemerkenswerteste Eigenschaft von „Slingshot“ sei sein ungewöhnlicher Angriffsweg: So sei bei mehreren Opfern festgestellt worden, dass die Infektion in mehreren Fällen von infizierten Routern ausgegangen sei. Die hinter „Slingshot“ stehende Gruppe habe anscheinend die Router mit einer schädlichen, zum Download anderer schädlicher Komponenten dienende „Dynamic Link Library“ (DLL) kompromittiert.
Loggt sich ein Administrator zur Konfiguration des Routers ein, lädt demnach dessen Management-Software schädliche Module auf den Administratorrechner und bringt sie dort zur Ausführung – der ursprüngliche Infektionsweg der Router selbst bleibe bislang allerdings unklar.
Nach der Infektion lade „Slingshot“ mehrere Module auf die Geräte seiner Opfer. Dazu gehörten auch „Cahnadr“ und „GollumApp“. Diese beiden Module seien miteinander verbunden und unterstützten sich gegenseitig bei der Sammlung von Informationen und deren Exfiltration sowie der möglichst langen Überdauerung auf den Rechnern.

APT widersetzt sich Erkennung

Der Hauptzweck von „Slingshot“ scheine Cyber-Spionage zu sein. Unter anderem würden Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen, weitere Desktop-Aktivitäten und Clipboard-Daten gesammelt, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermögliche.
Diese „Advanced Persistent Threat“ (APT) verfüge über zahlreiche Techniken, um sich ihrer Erkennung zu widersetzen. Alle Zeichenketten in den Modulen seien verschlüsselt, und die Systemdienste würden direkt aufgerufen, um Sicherheitslösungen keine Anhaltspunkte zu bieten. Hinzu kämen etliche Anti-Debugging-Techniken; auch werde vor der Auswahl eines Prozesses zur Injizierung überprüft, welche Sicherheitslösungen installiert sind.
„Slingshot“ arbeite wie eine passive Backdoor. Auch wenn diese Malware über keine hart codierte Command-and-Control-Adresse verfüge, erhalte sie diese vom Operator, indem alle Netzwerkpakete im Kernel-Modus abgefangen würden und das Vorhandensein von zwei hart codierten „Magic Constants“ in der Betreffzeile verfügbar seien. In diesem Fall enthalte das Paket die C&C-Adresse. Anschließend baue „Slingshot“ einen verschlüsselten Kommunikationskanal zum C&C auf und beginne mit der Übertragung von Daten zu deren Exfiltration.

Organisierte, professionelle und staatlich-gestützte Urheber vermutet

Vermutlich bestehe diese Bedrohung bereits seit geraumer Zeit, denn die KASPERSKY-Mitarbeiter hätten schädliche Samples gefunden, die als „Version 6.x“ gekennzeichnet gewesen seien. Die Entwicklungsdauer des komplexen „Slingshot“-Toolsets dürfte beträchtlich gewesen sein. Das gelte auch für die dafür benötigten Fähigkeiten und Kosten.
Zusammengenommen ließen diese Hinweise hinter „Slingshot“ eine organisierte, professionelle und wohl auch staatlich-gestützte Gruppe vermuten: Hinweise im Text des Codes deuteten auf eine englischsprachige Organisation hin.
Eine genaue Zuschreibung sei jedoch schwierig bis unmöglich – zumal das Thema Attribution zunehmend selbst manipulations- und fehleranfällig sei.

Bisher überwiegend Privatpersonen in Afrika und Asien geschädigt

Bislang seien rund 100 Opfer von „Slingshot“ und seinen zugeordneten Modulen betroffen: Die Angriffe hätten vorwiegend in Kenia und im Jemen stattgefunden, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania.
Sie richteten sich anscheinend überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.
„,Slingshot‘ stellt eine hochentwickelte Bedrohung mit einem breiten Spektrum an Tools und Techniken dar, wozu auch Module im Kernel-Modus zählen, die bis dato nur bei den komplexesten Angriffen zum Einsatz kamen“, erläutert Alexey Shulmin, „Lead Malware Analyst“ bei KASPERSKY lab. Die Funktionalität sei „äußerst präzise und für die Angreifer zugleich profitabel“. Das erkläre, warum sich „Slingshot“ mindestens sechs Jahre lang habe halten können.

Graphik: KASPERSKY lab

„Slingshot APT – how it attacks“

Graphik: KASPERSKY lab

„Slingshot APT – the main malicious modules”

KASPERSKY-Tipps zur Abwehr:

Prinzipiell wird zu folgenden Schutzmaßnahmen geraten:

• Nutzer von Mikrotik-Routern sollten so schnell wie möglich das Upgrade auf die aktuelle Software-Version durchführen. Nur so sei der Schutz gegen bekannte Schwachstellen gewährleistet. Zudem sollten keine Downloads mehr vom Router zum Rechner über die „Mikrotik Winbox“ erfolgen.
• Unternehmen sollten eine geeignete Sicherheitslösung in Kombination mit Technologien zur Abwehr zielgerichteter Angriffe und „Threat Intelligence“ einsetzen (z.B. „Kaspersky Threat Management and Defense“). Über die Analyse von Anomalien im Netzwerk würden hochentwickelte gezielte Angriffe sichtbar. Cyber-Sicherheitsteams erhielten einen vollständigen Einblick in das Netzwerk und die automatische Vorfallreaktion.
• Alle Mitarbeiter der Sicherheitsteams benötigten Zugriff auf aktuelle Threat-Intelligence-Informationen. So bekämen sie Zugang zu hilfreichen Tools und Erfahrungen, die bisher bei der Abwehr gezielter Angriffe hätten gewonnen werden können, wie zum Beispiel Kompromittierungsindikatoren (IOC), „yara“ (Identifizierungs- und Klassifizierungshilfe für Malware-Forscher) und kundenspezifisches „Advanced Threat Reporting“.
• Würden frühzeitig Indikatoren für einen zielgerichteten Angriff gefunden, sollte die Inanspruchnahme von „Managed Protection Services“ erwogen werden – damit ließen sich proaktiv hochentwickelte Bedrohungen erkennen, deren Überlebensdauer reduzieren und zeitnah Maßnahmen zur Vorfallreaktion einleiten.

Weitere Informationen zum Thema:

SECURELIST, 09.03.2018
The Slingshot APT FAQ

datensicherheit.de, 29.11.2016
Angriff auf Router von Telekom-Kunden zeigt Verletzbarkeit der IKT-Infrastruktur

[datensicherheit.de, 29.11.2016] Der Angriff auf Router von Telekom-Kunden vom 1. Adventswochenende 2016 zeigt die Verletzbarkeit der Internet-Infrastruktur. Angriffe auf Schwachstellen von Routern seien für Angreifer „äußerst lukrativ“, betont Tim Berghoff, „Security Evangelist“ bei G DATA.

Mit Angriffen auf Router und IoT-Geräte zukünftig verstärkt zu rechnen

Berghoff: „Gelingt es Angreifern, Sicherheitslücken auszunutzen, sind sie in der Lage, das gesamte Gerät zu manipulieren und so auch DNS-Einstellungen zu verändern. Das Mitschneiden persönlicher Daten, wie Kreditkarteninformationen oder Login-Daten zu Internetdiensten, ist dann ohne Weiteres möglich.“ Ebenso bestehe die Gefahr, dass ohne Wissen und Zutun des Inhabers Premium-Telefonnummern gewählt würden, die hohe Kosten für den Anschlussinhaber zur Folge hätten.
Nach Einschätzung des Experten stellt der jetzt bekannt gewordene Angriff aber nur die „Spitze des Eisbergs“ dar – mit Angriffen auf Router und IoT-Geräte werde zukünftig verstärkt zu rechnen sein.

Diebstahl persönlicher Daten

Am 1. Adventswochenende 2016 konnten sich ca. 900.000 Telekom-Kunden nicht mit dem Internet verbinden. Grund dafür sei ein Angriff auf die Router des Anbieters.
Angriffe auf Schwachstellen von Routern seien für Angreifer äußerst lukrativ. Gelinge es Angreifern, wie im vorliegenden Fall, Sicherheitslücken in einem Wartungsprotokoll auszunutzen, seien die Täter in der Lage, das gesamte Gerät zu manipulieren. Hierzu zählten zum Beispiel die DNS-Einstellungen, durch die es möglich sei, den gesamten Datenverkehr über einen Server zu leiten, der unter der Kontrolle des Angreifers steht.
Dies wiederum ermögliche es, persönliche Daten in großem Stil zu stehlen, wie Zugangsinformationen für Firmennetzwerke, Login-Daten für Soziale Netzwerke, Webshops oder E-Mail-Konten. Auch der Diebstahl von Kreditkartendaten werde damit möglich, warnt Berghoff.

Weitere Informationen zum Thema:

G DATA Security Blog, 29.11.2016
Tim Berghoff: Warum sich Angriffe auf Router lohnen

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 18.12.2014] Check Point® Software Technologies Ltd. veröffentlichte heute seine Ergebnisse zum Misfortune Cookie, einer kritischen Schwachstelle, die es einem Eindringling erlaubt, ein Kabelmodemgerät per Fernzugriff zu übernehmen und für Angriffe auf die mit ihm verbundenen Geräte zu nutzen.

Forscher der Check Point Malware- und Schwachstellenforschungsgruppe entdeckten eine auf Millionen von Kabelmodemgeräten (SOHO-Routern) verschiedener Modelle und Hersteller vorhandene Schwachstelle. Ihr wurde die Kennung CVE-2014-9222 zugeteilt. Diese schwerwiegende Schwachstelle erlaubt dem Angreifer per Fernzugriff die Übernahme eines Gateway-Geräts mit administrativen Privilegien.

Bisher haben Forscher mindestens 12 Millionen leicht ausnutzbare Geräte, die in aller Welt mit dem Internet verbunden waren, eindeutig erkannt. Dies macht sie zu einer der am weitesten verbreiteten Schwachstelle, die in den letzten Jahren entdeckt wurden.

Wesentliche Erkenntnisse:

• Bleibt sie unentdeckt, könnte ein Angreifer die Kontrolle über Millionen von Routern in aller Welt übernehmen und diesen Zugriff nutzen, um Daten von den kabelgebundenen und kabellosen Geräten, die mit dem Netzwerk verbunden sind, zu kontrollieren und zu stehlen.
• Die betroffene Software ist der eingebettete Webserver RomPager von AllegroSoft, der typischerweise in die mit dem Gerät herausgegeben Firmware integriert ist.
• Geräte von Check Point wurden nach Angaben des Herstellers durch diese Schwachstelle nicht beeinträchtigt.

„Misfortune Cookie ist eine ernsthafte Schwachstelle, die in Millionen von Haushalten und kleinen Unternehmen in aller Welt präsent ist. Bleibt sie unentdeckt und ungeschützt, könnte sie zulassen, dass Hacker nicht nur personenbezogene Daten stehlen, sondern auch das Zuhause der Menschen kontrollieren“, sagt Shahar Tal, Leiter der Malware- und Schwachstellenforschung bei Check Point Software Technologies. „Wir bei Check Point engagieren uns für den Schutz des Internets und seiner Nutzer, indem wir den Angreifern immer einen Schritt voraus sind. Unsere Malware- und Schwachstellenforschungsgruppe bleibt darauf konzentriert, Sicherheitsmängel aufzudecken und die erforderlichen Echtzeit-Maßnahmen zum Schutz des Internets zu entwickeln.“

Für weitere Informationen über Misfortune Cookie, betroffene Geräte und die Frage, wie Verbraucher und Unternehmen sich selbst vor dieser Schwachstelle schützen können, besuchen Sie bitte mis.fortunecook.ie.