Schwachstelle: Asus-Router nehmen beliebige Befehle an (Update)

In der Firmware von Routern von Asus ist wieder einmal ein Problem entdeckt worden. Eine Sicherheitslücke ermöglicht es Unbefugten, vollen Administrator-Zugang zu den Systemen zu erhalten. Dies kann im Zweifelsfall natürlich ernsthafte Konsequenzen für die angebundenen Nutzer mit sich bringen. (Asus bietet bereits Patches an, s.u.) Glück im Unglück: Die Schwachstelle kann laut den Analysen des Sicherheits-Experten Joshua Drake von der Firma Accuvant nur von Angreifern ausgenutzt werden, die mit ihrem Gerät im lokalen Netzwerk hängen. In anderen Fällen kam es durchaus schon vor, dass Router aus dem ganzen Internet zugänglich waren, was das Problem deutlich verschärfen würde.

Doch auch so ist die Sicherheitslücke nicht zu unterschätzen. "Ich vertraue den Menschen, die ich in mein Netzwerk lasse, durchaus zu einem gewissen Grad, ich will aber nicht, dass sie in der Lage sind, meinen Router neu zu konfigurieren", so Drake. Aktuell steht ihnen aber faktisch wenig im Weg, wenn sie dies vorhaben.

Der Ursprung des Problems liegt in einem Dienst namens infosvr. Dieser ist dafür zuständig, das lokale Netz im Blick zu behalten und andere Router zu erkennen. Die Software läuft auf den Geräten mit Root-Rechten. Ein Fehler im Code ermöglicht es, über den Dienst Anweisungen ausführen zu lassen, die entsprechend tief in das System eingreifen können.

Bei Tests durch Drake konnte die Schwachstelle in der Firmware 3.0.0.376.2524-g0013f52 nachgewiesen werden. Es muss allerdings davon ausgegangen werden, dass auch alle anderen Versionen anfällig sind. Nun gilt es in erster Linie darauf zu warten, dass Asus einen Patch bereitstellt und dieser von den Nutzern auch installiert wird. Es gibt allerdings auch einen Workaround für Anwender, die häufig fremde Gäste im Netz haben: Dafür muss man sich nach jedem Neustart auf die Kommandozeile des Routers einloggen und den infosvr-Prozess per killall beenden.

Eine Schwachstelle dieser Art birgt nicht nur die Gefahr, dass bösartige Nutzer die Router-Einstellungen durcheinanderbringen können. Es ist prinzipiell auch möglich, dass eine Malware sich von einem lokalen Rechner mit dem Gerät verbindet und beispielsweise die DNS-Einstellungen so verändert, dass User auf manipulierte Webseiten umgeleitet werden.

Update, 14. Januar 2015: Asus hat schnell auf das Problem reagiert und bietet bereits Updates für die betroffenen Router an. Diese lassen sich über die Benutzeroberfläche des Routers direkt installieren. Bei Bedarf können diese aber auch manuell bezogen werden. Aktualisierungen gibt es für die Gerätetypen DSL-AC68U, RT-AC87U, RT-AC68U, RT-AC66U und RT-N56U.

Weitere Informationen: Ausführlicher Report von Joshua Drake Internet, Netzwerk, Kabel, Ethernet DeclanTM / Flickr