20.01.2014 13:23

Backdoor in WLAN-Routern/DSL-Modems mehrerer Hersteller

Der Reverse Engineer Eloi Vanderbeken hat Ende letzten Jahres eine undokumentierte Hintertür in seinem Linksys WAG200G entdeckt und analysiert. Weitere Router-Modelle sind ebenfalls betroffen - zahlreiche Medien haben bereits berichtet. Die Geräte lassen sich über TCP-Port 32764 ansprechen - meist "nur" aus dem lokalen Netz, zum Teil aber auch aus dem Internet. Wie das SANS Technology Institute berichtet, haben entsprechende Scans in den letzten Tagen stark zugenommen.

Eine Shodan-Suche liefert aktuell ca. 70 österreichische IP-Adressen, an denen auf Port 32764 geantwortet wird.

Wer sein eigenes Device auf das Backdoor überprüfen möchte, findet Tools und Anleitungen dazu bei heise Security.

Eine Liste betroffener Geräte und weitere Informationen finden sich in Vanderbekens Repository auf GitHub.

Update (2014-01-20): Das Bürger-CERT des BSI (deutsches Bundesamt für Sicherheit in der Informationstechnik) hat dazu eine Technische Warnung veröffentlicht.

Autor: Stephan Richter