Router unsicher: Universal Plug and Play als Einfallstor

30. Januar 2013 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Gestern machte eine News die Runde, dass viele Millionen Router und andere Netzwerkgeräte weltweit potentiell gefährdet sind. Ein Sicherheitsunternehmen hat eine Sicherheitslücke im Protokoll UPnP entdeckt, welches in vielen Routern aktiv zum Einsatz kommt. Theoretisch könnte man in die Router Code einschleusen, der wiederum auch das lokale Netzwerk angreifbar macht. Betroffen sind übrigens nicht nur Router, sondern viele Geräte mit UPnP. Dies können auch IP-Cams, Netzwerkdrucker oder andere Mediaserver sein. Normalerweise dient UPnP zum Ansteuern / Aufspüren von Geräten untereinander im Netzwerk, aber bei Rapid7 hat man 80 Millionen IP-Adressen scannen können, die nach aussen antworteten, circa 40 – 50 Millionen sollen mindestens für eine der drei Angriffsmöglichkeiten empfänglich sein.

Metasploit

Circa 6900 verschiedene Geräte von über 1500 Herstellern sollen betroffen sein, Rapid7 empfiehlt, UPnP zu deaktivieren, alternativ kann man sein eigenes Netzwerk mit einer Windows-Software auf die Sicherheitslücke überprüfen – dann solltet ihr allerdings den Antivirus ausstellen, metasploit wird als Schadsoftware erkannt. Da viele von uns Router des Herstellers AVM nutzen, habe ich mal für euch nachgefragt, was mit AVM-Routern ist. Ich bekam folgende Antwort: Keine FRITZ!Box ist von der beschriebenen Sicherheitslücke betroffen, da die verursachende Bibliothek „libupnp“ bei unseren Routern noch nie zum Einsatz kam. Auch ist die Firewall der FRITZ!Box immer aktiv und lässt sich nicht deaktivieren. Heimnetzwerkprotokolle wie UPnP sind grundsätzlich nicht aus dem Internet erreichbar.

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 15525 Artikel geschrieben.


21 Kommentare

Typografix 30. Januar 2013 um 12:30 Uhr

Ich liebe meine FritzBox!

Manox 30. Januar 2013 um 12:51 Uhr

Gut zu wissen, hatte gestern dies schon bei 2 anderen Seiten gelesen und bezüglich AVM nix finden können ob diese auch betroffen sind.

bernie0007 30. Januar 2013 um 12:58 Uhr

Dann scheint es sich beim falschen Router wohl eher um “Universal Plug and Pray” Protokoll zu handeln … ;-)

Moeppi 30. Januar 2013 um 12:58 Uhr

Yay! Danke für’s AVM fragen!

andy89 30. Januar 2013 um 13:03 Uhr

Weiß zufällig jemand wie es bei den Vodafone EasyBoxen aussieht ?
Ich habe bei unserer gerade geschaut, dort gibt es zwei Optionen für UPnP:
1. Aktivieren von UPnP IGD Statusinformationen – ist aktiviert
2. Aktivieren von UPnP IGD Portweiterleitungen – ist deaktiviert

Ließe sich über Option 1 auch ein Zugriff von außen erzielen ? Leider gibt die Box keine weiteren Informationen wofür genau die erste Option ist.

Thomas 30. Januar 2013 um 13:06 Uhr

Danke auch :) Hab das erst vor wenigen tagen bei meiner Fritz!Box aktiviert, damit der Synology-NAS sich seine Ports freischalten kann. Grundsätzlich also schon ein nützliches Feature :)

Lizardon 30. Januar 2013 um 13:08 Uhr

Wie kann ich meinen Router überprüfen? Reicht es vielleicht schon, zu schauen, ob von außen der Port 1900 offen ist?

Hermann 30. Januar 2013 um 13:42 Uhr

ist doch super, wenn AVM da ganze arbeit leistet! So lass ichs mir eingehen!

blauvogel 30. Januar 2013 um 14:10 Uhr

Seit euch nicht zu sicher! UPnP ist zwar von außen (vom Internet her) nicht erreichbar, aber wenn ihr euch eine Schadsoftware eingefangen habt, die den Router aus dem LAN heraus umkonfiguriert, habt ihr doch wieder verloren. Deshalb kann ich die Empfehlung, UPnP zu deaktivieren, nur unterstützen. Das heißt zwar auf ein paar Annehmlichkeiten im LAN zu verzichten, erhöht die Sicherheit aber beträchtlich.

Siehe auch https://de.wikipedia.org/wiki/Upnp
“Der Bequemlichkeit der automatischen Portkonfiguration gegenüber steht ein Verlust an Sicherheit, denn die Firewall eines UPnP-fähigen Routers kann dadurch von einem eventuell auf den Computer gelangten Schadprogramm unwirksam gemacht werden.”

Man muss also gar keine Lücken im UPnP ausnutzen!

blauvogel 30. Januar 2013 um 14:14 Uhr

@Lizardon:

Richtig! Siehe https://de.wikipedia.org/wiki/Upnp
“Sobald ein UPnP-Gerät über eine IP-Adresse verfügt, muss es seine Existenz im Netzwerk an die Kontrollpunkte melden. Das erfolgt via UDP über die Multicast-Adresse 239.255.255.250:1900 auf der Basis des Simple Service Discovery Protocol (SSDP). Ebenso können Kontrollpunkte nach UPnP-Geräten im Netzwerk suchen.”

@toptest24 30. Januar 2013 um 14:32 Uhr

Reicht es wirklich schon , wenn ich UPnP im Router deaktiviere? Bin ich dann vor Angriffen über diesem Protokoll geschützt?

Dagahan 30. Januar 2013 um 14:48 Uhr

Dank für die Info. Hatte auch schon die Idee bei AVM nachzufragen. Aber eigentlich hätte ich mir das denken können das die FritzBoxen davon nicht betroffen sind.

Sven 30. Januar 2013 um 14:57 Uhr

Haha,

AVM made my day:
“Auch ist die Firewall der FRITZ!Box immer aktiv und lässt sich nicht deaktivieren. ”

Wieder mal eine Antwort aus dem Reich des Marketings. Entwickler werden fragt man ja auch besser nicht zu so einem Thema, da wäre ja die Antwort eine andere als man nach außen kommunizieren möchte.

Mike 30. Januar 2013 um 16:20 Uhr

UPNP sollte man doch schon in Windows XP wegen Sicherheitslücken deaktivieren. Schein also nicht wirklich so neu zu sein. Diese ganzen Automatismen, die Einstellungsarbeiten erleichtern sollen, erleichtern natürlich immer auch Hackerangriffe.

Andreas G. 30. Januar 2013 um 17:35 Uhr

Über die Sicherheit muß man sich bei UPnP keine Gedanken machen da sie nicht vorhanden ist ;)

r.lesch 30. Januar 2013 um 23:57 Uhr

@andy89 Die Vodaphone Easyboxen sollten ‘sicher’ sein. Port 1900 ist zumindest von aussen dicht. Desweiteren ist das automatische Einrichten der Portweiterleitungen standardgemäss deaktiviert,was das grösste Problem somit eliminiert.

Die erste Option dient nur dazu Statusinformationen im Lan verfügbar zu machen, zb die externe Ip für geräte im Lan. halte ich nicht grad für das grösste Problem. Aber da mag ein Experte mehr dazu erzählen. Port 1900 ist nach aussen sicht, also wenn, ists erstmal nur eine Sache Deines Lans.

Testen kann mans zb per
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

(oder man nutzt den altbekannten Scanner von Gibson Research)

r.lesch 31. Januar 2013 um 00:22 Uhr

p.s schon lustig, dass Rapid7 ne exe (oder wars n java tool) zum runterladen anbietet; da testet man auf ne mögliche Sicherheitslücke und öffnet sein System für eine existierende sperrangelweit .. /facepalm
– fürs uPnP testen braucht man kein Tool lokal ausführen. Will gar nicht wissen, wieviel Leute sich dubiose/kompromittierte Testtools gezogen haben nur aufgrund dieser Nachricht…

Peter Groth 31. Januar 2013 um 11:55 Uhr

Bei meiner Vodafone-Kiste (Router mit UMTS-Stick-Anschluß und Telefon etc.) war das UpnP komplett deaktiviert. Zu finden unter “Extras”. Der Heise-Check, den r.lesch hier online gestellt hat, zeigte auch nur grün.


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.