Es stimmt, wir haben ein Problem, unsere Kunden sind angreifbar und wir können im Moment absolut nichts dagegen tun. So ungefähr lässt sich die Mitteilung zusammenfassen, die das US-Unternehmen Cisco gerade veröffentlicht hat. Was der Hersteller von Netzwerk-Hardware da auf seine Website gestellt hat, kommt einem Offenbarungseid gleich. 

Immerhin hat Cisco damit als erstes Unternehmen auf eine Enthüllung reagiert, die eine ganze Reihe von Routern auch anderer Hersteller betrifft. Demnach gibt es bei den betroffenen Modellen eine Hintertür, über die ein Angreifer Zugriff auf die Zugangsdaten gewinnen kann. Wer einen derart angreifbaren Router zu Hause oder in der Firma stehen hat, hat ein Sicherheitsproblem. Betroffen sind offenbar auch Router der Firmen Netgear, Linksys, Diamond und LevelOne, mutmaßlich auch weitere Hersteller. Warum so viele Geräte die gleiche Sicherheitslücke haben, ist unklar.

Cisco will bis Ende des Monats eine kostenlose Software-Lösung für das Problem vorlegen. Eine behelfsmäßige Lösung kann das Unternehmen bis dahin nicht anbieten. Eine solche sei derzeit einfach nicht bekannt, heißt es in dem Sicherheitsbulletin. Unter dem Punkt  Affected Products/ Vulnerable Products findet sich eine Auflistung der vier definitiv gefährdeten Cisco-Typen mit den jeweiligen Software-Konfigurationen. 

Aufmerksam gemacht auf das schwerwiegende Problem hat der niederländische Entwickler Eloi Vanderbeken. Kurz nach Weihnachten veröffentlichte er auf der Seite Github eine Präsentation mit 34 Folien. Darin schildert Vanderbeken mit einigen lustigen Zeichnungen, wie es ihm möglich war, über ein kleines Python-Skript die Zugangsdaten seines Linksys-Routers auszulesen.  

Port 32764 wartet auf Anfragen

Der Grund dafür ist offenbar, dass der TCP-Port 32764 offen ist und auf Anfragen wartet. Ein solcher Port ist ein definierter Kanal für den Transport von Daten zwischen einem Rechner und dem Router, bestimmte Ports sind für ganz konkrete Aufgaben reserviert.

Die Anfragen an den Router können in einigen Fällen sogar über das Internet erfolgen. Viel häufiger sind sie jedoch erfolgreich, wenn sie über das jeweilige lokale Netzwerk erfolgen. Das ist vor allem für Firmennetzwerke kritisch. Über den Port und mithilfe des veröffentlichten Skripts lassen sich nicht nur sensible Passwörter und Einstellungen einsehen, sondern auch verändern. Heise.de spielt das Szenario durch, dass ein Angreifer mit diesem Zugang etwa den eingestellten DNS-Server verändern und so den gesamten Datenverkehr über eine fremde Adresse umleiten könnte. Die Nutzer würden von so einer Umleitung wahrscheinlich nichts merken.

Ob ihr eigener Router betroffen ist, können Nutzer mit einem Schnellcheck bei heise.de überprüfen. Hierbei werden offene Ports angezeigt. Bedenklich ist es, wenn der besagte Port 32764 in der Darstellung rot und als offen markiert wird. Sollte das der Fall sein, bietet Heise einen detailierten Check an, der zeigt, ob ein Angreifer Zugang zum Netzwerk haben muss oder gar über das Internet kommen kann.

Eine vollständige Dokumentation zu seinem Fund hat Vanderbeken zwar nicht vorgelegt, das wäre ihm viel zu aufwändig gewesen, schreibt der Entwickler auf Github. Doch jeder hat die Möglichkeit, seine Liste angreifbarer Hardware um weitere Modelle zu ergänzen. Getestet hatte Vanderbeken seinen Code nur einen Tag lang und zunächst auch nur auf einem bestimmten Router, einem Linksys WAG200G. Doch schon bald nach der Veröffentlichung wurde klar: Von dem Problem sind auch andere Geräte betroffen. Woher es kommt, weiß niemand. Vanderbeken stellte aber immerhin fest, dass in vielen der betroffenen Router Modems der Firma SerComm verbaut wurden.

Zumindest dem Cisco Product Security Incident Response Team (Psirt) seien keine Fälle bekannt, in denen die Lücke in größerem Maße ausgenutzt wurde, schreibt das Unternehmen. Ausdrücklich bedankt es sich bei denjenigen, die das Einfallstor publik gemacht haben.