UPnP-fähige Router ermöglichen Missbrauch durch Cybercriminelle

Router von verschiedenen Herstellern sind mit einer sogenannten UPnP, Universal Plug and Play Technologie ausgestattet, welches Geräten im Netzwerk eine unkomplizierte und weitesgehend konfigurationsfreie Konnektivität im Netzwerk ermöglicht. Diese einfache Möglichkeit birgt auch Risiken, so können Angreifer die UPnP-Funktion von außen umkonfigurieren und zum Beispiel die Internetverbindung als Surfproxy zum anonymen Download von illegalen Inhalten missbrauchen oder das LAN nach Freigaben oder Geräten durchsuchen und private Daten stehlen.

Wie kann man sich vor Angriffen schützen:

Dieser Punkt teilt sich laut Garcia in zwei Unterpunkte auf, und zwar Maßnahmen seitens des Endbenutzers und des Administrators. Seitens des Endbenutzers kann der UPnP Dienst des Routers deaktiviert werden. Allerdings kann es dann zu Komplikationen kommen. Spielekonsolen z.B. benötigen diese automatische Konfiguration um sich an das  Netzwerk anzumelden. Ohne UPnP Konfiguration besteht die Möglichkeit eines Performanceverlusts. Weiterhin sollte der WAN Netzwerkverkehr nicht auf ein UPnP-Kontrollpunkt weitergeleitet werden. Oftmals bieten Router, die eine Internetanbindung zu einem lokalen Netzwerk routen, nur die Option lediglich diese Weiterleitung zu aktivieren oder zu deaktivieren, aber nicht spezielle Geräte zuzulassen. Administratoren können Vorkehrungen treffen indem Sie WAN-Anfragen von außerhalb blockieren.

Der IT-Specialist Daniel Garcia hat ein kostenloses Tool Umap entwickelt, womit sich diese Schwachstelle aufdecken und demonstrieren lässt. In seiner Analyse zur UPnP-Schwachstelle hat er mit Hilfe des Umap Programms ohne viel Mühe innerhalb einer Woche 150.000 verwundbare Router ausfindig gemacht. Betroffene Geräte sind insbesondere Linksys, Edimax, Sitecom, Speedtouch, Alcatel und Thomson. Hierbei muss die verwundbare Firmware Version mit einberechnet werden.

DNS-Exploit:

Eine weitere ausgenutzte Sicherheitslücke, die seit Jahren durch Patches und modifizierte Firmware für Router versucht wird zu schließen, ist der DNS-Exploit. Hierbei wird der Benutzer auf eine präparierte Webseite umgeleitet und ein Code wird auf dem lokalen Rechner ausgeführt, sodass der Angreifer Zugang zum Router und dessen Einstellungen bekommt. Craig Heffner hat auf der diesjährigen Black Hat Security Conference in Las Vegas diese Schwachstelle demonstriert. Der DNS-Exploit ist zwar nicht neu, jedoch eine abgewandelte Version, die immer noch für eine Vielzahl von Router wirksam ist.

Als Anwender sollten sie die Firmware Version Ihres Routers unter der Herstellerseite (meist unter Support oder Downloads) überprüfen und ggf. updaten. Anleitungen finden Sie auch dort.

Quelle: Analysis of Garcia regarding UPnP-mapping attack & Home Routers vulnerable