Wer einen unsicher konfigurierten Router betreibt, könnte schon bald Probleme bekommen: Ein Virenforscher hat ein Exploit-Kit entdeckt, das zahlreiche Router-Modelle bekannter Hersteller angreifen kann.
Online-Angreifer nutzen ein bisher unbekanntes Exploit-Kit, um über 50 Router-Modelle zu attackieren. Wie der Virenforscher Kafeine berichtet, versucht es Schwachstellen im Router auszunutzen, um den eingestellten DNS-Server zu manipulieren. So können die Angreifer den Internetverkehr ihrer Opfer umleiten.
Das Exploit-Kit greift den Router über den Browser an, wenn man auf einer verseuchten Webseite landet. Dabei wird verschlüsselter JavaScript-Code ausgeführt, der zunächst versucht, die interne IP-Adresse des Routers und das Modell zu ermitteln. Anschließend startet das Exploit-Kit einen auf den Router zugeschnittenen Angriff. Je nach Modell versucht es entweder bekannte Sicherheitslücken auszunutzen oder es probiert Standardzugangsdaten wie admin:admin durch.
Traffic-Umleitung durch DNS-Manipulation
Ist der Angriff erfolgreich, ändert des Kit den im Router eingestellten DNS-Server auf eine IP-Adresse, die unter der Kontrolle der Online-Ganoven steht. Der fortan genutzte DNS-Server liefert vermutlich falsche Antworten zurück, wodurch die Täter den Datenverkehr ihrer Opfer beliebig umleiten können. Versucht das Opfer zum Beispiel Google.de zu erreichen, könnten es die Angreifer auf eine nachgebaute Google-Seite umleiten, auf der massenhaft Werbung eingeblendet wird, deren Erlöse auf das Konto der Angreifer gehen. Ferner können die Täter den manipulieren Router für Phishing oder DDoS-Angriffe missbrauchen.
Die aktuellste Lücke, die das Exploit-Kit auszunutzen versucht, ist gerade einmal seit drei Monaten öffentlich bekannt. Wer einen betroffenen D-Link-Router besitzt, dessen Firmware nicht auf dem aktuellen Stand ist, der ist für die Cyber-Angreifer leichte Beute. Der aktuelle Fund zeigt einmal mehr, dass es nicht nur wichtig ist, dass Router-Hersteller zeitnah abgesicherte Firmware-Versionen veröffentlichen. Die Firmen müssen ihre Kunden auch aktiv über wichtige Updates informieren. Im Idealfall schaut der Router selbst nach Aktualisierungen und installiert sie auf Wunsch automatisch.
Router-Firmware aktualisieren!
Schützen kann man sich vor solchen Angriffen, indem man sich regelmäßig davon überzeugt, dass die Router-Firmware aktuell ist. Sofern der Hersteller den Router mit einem Standardpasswort für das Webinterface ausliefert, sollte man dieses unbedingt ändern, da das Exploit-Kit auch einen Wörterbuchangriff fährt.
Quelle: heise.de