Zehntausende Router werden aktuell als Proxy-Botnetz missbraucht

Aktuell ist eine Malware im Umlauf, die eine bisher kaum gepatchte Schwachstelle im Universal Plug and Play (UPnP)-Protokoll ausnutzt. Der Schädling befällt in der Folge diverse Routermodelle und bindet diese in ein Botnetz ein. mehr... Internet, Daten, Router, Netzwerk, Dsl, Kabel, Ethernet Bildquelle: secretlondon123 / Flickr Internet, Daten, Router, Netzwerk, Dsl, Kabel, Ethernet Internet, Daten, Router, Netzwerk, Dsl, Kabel, Ethernet secretlondon123 / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ohne Informationen welche Router betroffen sind, wie man Feststellen kann ob man betroffen ist, was man dagegen tun kann ist der Artikel absolut wertlos und pure Panikmache.
 
@Eagle02: Danke dir!
 
@Eagle02: stehen im verlinkten Akamai PDF. Wobei dort nur die verifizierten stehen, es sind sicherlich noch viele mehr davon betroffen.
 
@Eagle02: warum nicht ganz einfach selbst prüfen von einem Rechner der sich im WAN befindet

nmap -sU -p 1900 DEINE.WAN.IP.ADRESSE
 
@Eagle02: dieses
 
Fix muss von ca 99% aller Hersteller kommen, hier eine Möglichkeit es zu Unterbinden:

How to Fix It If a device is affected by this vulnerability, there are only a few options for mitigation. The first would be to replace the device with something else that you've confirmed is not vulnerable to these types of attacks. If replacing the device is not an option, it is typically possible to disable UPnP services on the device. However, this could have impacts in other areas of your network, such as gaming or media streaming.
In cases where neither of these options work, deploying a firewall in front of your affected device and blocking all inbound traffic to UDP port 1900 will prevent the information leaks that make TCP daemon discovery possible. If your device is already compromised, this would still allow proxy injection and proxy usage. Manually removing these injections would stop proxy usage, but would not prevent future injections from happening, making this solution a game of whack-a-mole.
 
Ok mein Huawei Router/Modem scheint nicht betroffen zu sein (Mit Updates haben die es eh nicht so). Hoffe von anderen kommt bald ein fix.
 
Ja ja da haben sich die Router Hersteller richtig mit Ruhm bekleckert. Nicht nur das der UPnP Beispielcode einfach von Intel übernommen wurde, nein man hat UPnP auch noch zum WAN hin geöffnet.

Dem Ingenieur ist nichts zu schwör :D
 
Hier kann man es auch testen
https://www.heise.de/security/dienste/portscan/test/do.shtml?scanart=1

Fritzbox scheint nicht betroffen zu sein
 
@Shikigami: sanft schade, ich habe insgeheim gehofft dass zumindest die 6360 betroffen ist, dass VF endlich mal die teile gratis ersetzt anstelle die übliche wechselgebühr zu verlangen. immerhin sind die EoL und bekommen keine updates mehr.
 
@My1: Kauf dir einfach selber einen Router/Kabelmodem?
 
@nightdive: es geht um allgemein. wenn ein provider boxen verteilt sollten diese auch auf einem sicheren stand sein.
 
@My1:
Konnte bei VF meine Box in einer 6490 umtauschen. Musst nur lange und freundlich mit dem Support Typ reden. Zahle dafür auch keine Wechselgebühr o.ä.
 
@FelixM: das ist mMn schon ein problem. damals als HTTPS sehr stark geschwächt war wegen RC4 und allem kam VF und wollte für den wechsel die gebühr haben obwohl die box eben nicht mehr sicher war und die eben sogar meinten dass die boxen damals angeblich schon EOL gewesen wären und so.

kürzlich haben die sich auf twitter gemeldet dass die mir "aus Kulanz" die kosten erlassen wollen, was ich ziemlichen bullshit finde, gerade da bei uns der vertrag mitsamt der sogenannten "homebox option" (also hauptbestandteil ist die fritzbox, nicht der rest) 4 einhalb Jahre läuft lässt sich ganz schnell rausrechnen dass rechnerisch gesehen die box UND die wechselgebühr LÄNGST abbezahlt ist.

und wenn wegen den unsicheren boxen die DIE vertrieben haben, probleme entstehen (bspw vpn-funktion gehackt und leute torrenten bis zum erbrechen, oder eben spambots oder was weiß ich) die Kunden Probleme bekommen (und das wird erstmal der fall sein denn der provider sagt ja nicht dass da ne unsichere box dran hängt in die jeder rein kann sondern leitet nur an den kunden, und gerade die, die nicht technisch versiert sind wissen gar nix und können somit schwer die vorwürfe von sich weisen.

dazu kommt dass die sicherheit ja eines DER TOP ARGUMENTE FÜR DEN ROUTERZWANG war, also sollten auch die geräte sicher und auf aktuellem stand sein.

nur ist VF da absolut müll, nicht nur verzögern die ewig die updates, oder lassen einige ganz aus (meine 6360 bspw läuft mit 6.54, noch aus dem Jahr 2016, zum vergleich, vor über 1 Jahr, märz 2017, hat die 7360 (das gleich in DSL) das update auf die 6.83 erhalten.

http://download.avm.de/fritzbox/fritzbox-7360/deutschland/fritz.os/info_de.txt

Unitymedia hingegen hat sich sehr wohlwollend gezeigt auf twitter und direkt gesagt dass alle betroffenen gratis tauschen können.
 
@My1: Selbst wenn die Fritz!Box betroffen wäre, EOL ist bei AVM kein Grund kritische Sicherheitsupdates nicht durchzuführen. AVM hat bis jetzt bei allen kritischen Sicherheitslücken, auch für EOL/EOM Geräte Updates entwickelt. Aber so eine Dummheit UPNP auf WAN laufen zu lassen...das ist genau das Gleiche wie die Speedport Problematik damals....da war es TR-064. Das hatte ich Internet nix verloren sondern gehört ins lokale Netz, nur ins lokale Netz....natürlich sind wieder die üblichen Verdächtigen dabei...ASUS, D-Link und Netgear. Der Vigor überrascht, da hätte ich mehr erwartet von Dreytek.
 
@Nero FX: wenn AVM da wirklich noch patcht obwohl es ja heißt dass es dann weder updates noch support gibt ist das genial, problem sind wie immer die hersteller. VF meinte als ich damals auf die schwache TLS implementierung hinauswollte, dass die angeblich keine updates mehr bekäme was sich nach ner mail an AVM als falsch herausstellte.
 
@My1: AVM stoppt Updates in der Regel wegen Speichermangel im Flashspeicher und im RAM (nur 7113) (aktuell werden nur noch Geräte mit über 16MByte mit Updates versorgt). Dann bekommt man keine neue Funktionen mehr. Sicherheitpatches hingegen brauchen ja meist nur Bytes im Flash Speicher. Sieht man schön bei der 736x Serie. Die Alten 7360SL/7360v1 (jeweils 16Mbyte) haben bis Fritz!OS 06.3x Updates bekommen. Die 7360v2 mit 32Mbyte wird weiterhin unterstützt (aktuell Fritz!OS 06.83) wie auch die 7362SL (128Mbyte). Alle quasi baugleich nur nicht im Flash (bis 32MByte NOR Flash, danach 128Mbyte NAND Flash). Das war auch damals so (Fritz!Box Fon WLAN -> 4Mbyte | Fritz!Box FON WLAN 7050 -> 8Mbyte voll | 7270v1 8Mbyte, 7270v2 baugleich nur 16Mbyte). 7390 war einen Außnahme, 16Mbyte NOR und 512MByte NAND. Vom NAND kann aber nicht gebootet werden, aber als Auslagerung konnte man der 7390 nocht Fritz!OS 06.83 verpassen statt sie bei 06.3x zu belassen. Die ADSL Fritz!Boxen (7312/7320/7330) haben noch Fritz!OS 06.5x bekommen weil in den 16Mbyte wegen fehlendem VDSL Treiber noch Platz war.
 
@Nero FX: Falsch, AVM lässt Kunden eiskalt im Regen stehen! zB die 7390 hat keinen Fix für Wlan-"Krack"
 
@cam: KRACK ist ein Client Fehler, der Router hat damit nichts zu tun. KRACK erlaubt es dem Client einen bereits verwendeten Schlüssel nochmals unterzujubeln indem falsche Anweisungen gesendet werden, was soll der Router gegen eine anderen Sender mache der nicht einmal im WLAN eingeloggt ist? Da muss der Client (Handy, Laptop, etc.) den Schlüssel auf Wiederholung prüfen und ablehnen. Die 7390 als WLAN-Client hingegen könnte, das müsste man prüfen, ggf. anfällig sein wobei AVM eine eigene WLAN Repeater Funktion programmiert hat, ggf. ist KRACK da gar nicht möglich oder muss angepasst werden. Davon abgesehen ist KRACK nicht kritisch da sich der Angreifen in WLAN Reichweite befinden muss also in deiner Wohnung. Kritisch war der Fernwartungsbug damals weil es über das WEB ausnutzbar war.
 
AVM brutzelt zwar allzugern ein eigenes Süppchen, an WPA2 kommt man aber nicht herum
 
@Shikigami:

meine Fritzbox 7312 ist auch nicht betroffen..obwohl ich auch Upnp offen habe
 
UPNP istdoch wahrscheinlich nur bei NAT-Routern aktiv, oder? Diese wiederum sind meistens an Dynamischen IPs oder anderen Endkunden-Anschlüssen, die von den meisten großen Mailservern eh ignoriert werden, oder nicht?!
 
@DRMfan^^: Ja, botnetz sind aber flexibel und logindaten finden sich da auch
 
uPnP gehört ja auch nicht auf Router. Die Miete dafür, die kriegen wir jetzt.

Der Rest.. sollte, wenn irgend möglich,uPnP am Router deaktivieren. Wenn man das an hat, dann kann man auch gleich das Scheunentor ausbauen.
 
@RalphS: Ich bin wahrhaftig kein Freund von UPNP aber ganz so extrem ist es auch wieder nicht. Die Fritz!Boxen haben auch UPNP aber in der Standardeinstellung übermittelt es nur Daten (z.B. Internet Bandbreite). Änderungen an Sicherheitseinstellungen/Portforwarding dürfen standardmäßig nicht verändert werden. Bei aktuellen Modellen kann UPNP für bestimmte Geräte einzeln aktiviert werden. Die Implementation (Standard: Deaktiviert/nur lesend) ist entscheidend.
 
Deshalb muss endlich eine betreiberhaftung her
 
@0711: Ich weiß kleinkarriert aber du meinst sicher Anbieter/Herstellerhaftung. Sonst wärst du als Betreiber eines Routers verpflichtet für Sicherheitslücken zu schliessen oder das Gerät außer Betrieb zu nehmen.
 
@Nero FX: Nein, ich meine Betreiberhaftung, explizit. Und ja genau das meine ich, die leute holen sich die letzten schrott router, Support oder keiner ist völlig egal, Hauptsache billig billig zum schaden der Allgemeinheit wird auch in China am zoll vorbei importiert, alles egal.
Die Herstellerhaftung gibt es meiner Ansicht nach bereits für 2 Jahre, sie wird nur nicht umgesetzt, was schade ist und die Praxis sollte überarbeitet werden (ist so ähnlich wie mit "Handy am steuer", ansich wars schon immer verboten...durchgesetzt hat mans nur nicht)
 
@0711: Du meinst die Gewährleistung mit den 2 Jahre? Das funktioniert nicht. Die Gewährleistung gilt gegen den Händler/Verkäufer nicht den Hersteller. Frag mal Amazon ob Sie dir eine neue Firmware für dein TP-Link Router den du vor 23 Monaten gekauft hast bereitstellen/programmieren...vorallem kann der Händler pleite gehen oder der Hersteller geht Pleite dann müssen alle Händler alle Geräte mit Sicherheitslücken ja zurücknehmen........Thema Betreiberhaftung: Eine Haftung des Privatkunden die über das installieren von Firmwareupdates/Sichern des WLAN Zugangs hinaus geht darf es, im privaten Umfeld, auf keinen Fall gegeben. Damit treibst du die Leute gleich voll in die Arme der Provider welche dann Ihre China-Schrottrouter mit Backdoor inklusive (EasySupport und co) als "Lösung" verkaufen. Das haben wir mit der Routerfreiheit gerade erst abgeschafft. Der Gerätehersteller muss in die Pflicht genommen werden. Ein Router muss eben sicher ausgeliefert werden, sonst keine Einfuhr/kein Verkauf. Sicherheitsupdates muss es dann für 5 Jahre geben. Wenn eine alte, unsichere Firmware verwendet wird muss der Anwender immer erst "ich hafte für eine unsichere Firmware" abnicke bevor er ins Internet kommt/eine Verbindung hergestellt wird.
 
@Nero FX: Für den Verbraucher ist es uninteressant, kann der Händler nicht anchbessern gibt's geld zurück. Ob Amazon einen fix für ein kaputtes Produkt liefern kann ist herzlichst egal.
Doch das darf es geben, das ist im Straßenverkehr gang und gebe, JEDER muss auf die Verkehrssicherheit seines Autos acht geben und wenn es hier z.B. nachweislich Probleme mit der Bremsanlage gibt muss der anwennder das beheben ohne das der hersteller hier auf diesen zugeht um ihn darauf aufmerksam zu machen. Wie die Lösung aussieht ist egal, ob die leute an der strippe der hersteller, Provider oder Händler hängen ist für mich genau gar kein unterschied. Die Leute müssen in der pflicht sein keinen schrott in den verkehr zu bringen, so ist es auch bei anderen im öffentlichen leben teilnehmenden Gerätschaften wie Fahrrädern, Autos, Funkanlagen oder oder oder.
Nein, der Kunde hat da gar nichts abzunicken sondern hat sich darum zu kümmern, kümmert er sich nicht hat er im Internet nichts zu suchen und ihm sollte der zugang gesperrt werden, bei nachweislich schadhaften verhalten seiner eingesetzten schrottkomponenten sollte er zur zahlung verpflichtet werden. Erst dann wird auch bei den anwendern ein umdenken stattfinden und mal darauf geachtet das ihr elektroschrott auch geupdated werden kann/wird, sonst kauft der kunde wie heute schon den billigsten scheiss und sagt jedes mal "ich kann ja nichts dafür".
 
UPnP einfach deaktivieren .. wenn man auf mehr Sicherheit besteht muss man das eh
 
Speedport 724V auch alles in Ordnung.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles