lochkartenstanzer
Jan 02, 2014, updated at Jan 03, 2014 (UTC)
view4272
view11
3
Goto Top

Mysteriöse Backdoor in diversen Router-Modellen Security

GermanGeneralRouters, RoutingNetworks
Es sollen bisher einige Netgear- und Linksys-Modelle betroffen sein,


Nachtrag:

Link ins github mit eine rListe von betroffenen Modellen.

Da wird vermutlich die eine oder andere Überraschung noch kommen.

Update:

Heise hat ein Update mit dem Hinweis, wie man seine Router testen kann.

http://www.heise.de/security/meldung/Mysterioese-Backdoor-in-diversen-R ...
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 225732

Url: https://administrator.de/contentid/225732

Printed on: April 19, 2024 at 00:04 o'clock

11 Comments
Latest comment
Goto Top
Member: C.R.S.
C.R.S. Jan 03, 2014 at 00:39:07 (UTC)
Goto Top
Gestern an einem "Cisco" RVS4000 getestet, FW V2.0.2.7: immerhin nur LAN-seitig offen.
Member: Lochkartenstanzer
Lochkartenstanzer Jan 03, 2014 at 16:55:39 (UTC)
Goto Top
Zitat von @c.r.s.:

Gestern an einem "Cisco" RVS4000 getestet, FW V2.0.2.7: immerhin nur LAN-seitig offen.

Ups, wenn auch cisco-Modelle betroffen sein sollten, na dann gute Nacht. Ein Glück, daß ich meine Router meistens selber baue (standard-rack-server).

lks
Member: C.R.S.
C.R.S. Jan 03, 2014 at 21:09:41 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Ups, wenn auch cisco-Modelle betroffen sein sollten, na dann gute Nacht.

Na ja, Cisco in Anführungszeichen. Ein Linksys WRVS4400N war gestern schon in der Liste auf Github. Ich habe es nur ergänzt, weil man meinen könnte, Cisco schaut mal über eine spätere Firmware, die es unter seiner Marke zu verantworten hat. Ich denke, alle Geräte aus dieser verbreiteten "quadratischen" Small-Business-Serie sind betroffen: https://www.google.de/search?q=Linksys+WRVS4400N&tbm=isch

Grüße
Richard
Mitglied: 108012
108012 Jan 03, 2014 updated at 21:25:21 (UTC)
Goto Top
Ein destruktives Hallo an Alle,

Gestern an einem "Cisco" RVS4000 getestet, FW V2.0.2.7: immerhin nur LAN-seitig offen.
Muss man bei den neueren Modell von Cisco und/oder Linksys nicht standardmäßig einen
Cloud Zugang zum "Wolkenkuckucksheim" einrichten???

Ups, wenn auch cisco-Modelle betroffen sein sollten,
Cisco hat sogar die Firma aufgekauft wo man ein Abo kaufen kann um Snort Rules zu bekommen,
aber Ihre IP telefone stehen schon länger in Verdacht, das man damit ganze Konferenzräume abhören
kann, das passt irgend wie alles gar nicht so richtig finde ich.

Unter dem Link steht von @lks steht unter anderem folgendes:
Der Reverse Engineer Eloi Vanderbeken hat entdeckt, dass sein heimischer
Linksys-Router WAG200G über den Port 32764 erreichbar ist. ...

Auf die dämliche Antwort von Cisco was das denn wohl für ein Programmierfehler bzw. Bug sein
soll bin einmal gespannt!

Gruß
Dobby


: Quellenangabe : Heise Verlag Mysteriöse Backdoor in diversen Router-Modellen
Member: Lochkartenstanzer
Lochkartenstanzer Jan 03, 2014 at 23:51:04 (UTC)
Goto Top
Zitat von @c.r.s.:

> Zitat von @Lochkartenstanzer:
> Ups, wenn auch cisco-Modelle betroffen sein sollten, na dann gute Nacht.

Na ja, Cisco in Anführungszeichen.

Auf der Liste tauchen jetzt noch mehr Geräte mit Cisco-Label auf. Auch wenn das "nur" umgelabelte linksys sein sollten wirft das imho ein schlechtes Licht auf Cisco und deren Qualitätskontrolle.

lks
Member: C.R.S.
C.R.S. Jan 04, 2014 at 01:09:24 (UTC)
Goto Top
Interessant finde ich die WAN-seitig betroffenen Router. Die Shodan-Ergebnisse (port:32764 \xff \x00) für den Dienst:

22de0c88a6150f17d380eddb8a3830fd
29549b3971c0586764516b269ade0cab

GB auffälliger Spitzenreiter mit 562 Geräten (11 aus "unknown") von 1416.

Aufgrund der Hostnamen vermute ich einen Zusammenhang mit von Providern vertriebenen Geräten, was aber aufgrund der Marktanteile nicht leicht zu schätzen ist:
GB: British Telecom / möglich
IT: Telecom Italia / wahrscheinlich
BG: Bulsatcom / sehr wahrscheinlich (oder es gibt in Bulgarien keinen anderen Anbieter?)
Member: L4SCHI
L4SCHI Jan 05, 2014 at 08:48:25 (UTC)
Goto Top
http://futurezone.at/netzpolitik/hacker-finden-hintertueren-in-netgear- ...

noch ne kleine Ergänzung
Member: Lochkartenstanzer
Lochkartenstanzer Jan 05, 2014, updated at Jan 06, 2014 at 19:19:08 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Auf der Liste tauchen jetzt noch mehr Geräte mit Cisco-Label auf. Auch wenn das "nur" umgelabelte linksys sein
sollten wirft das imho ein schlechtes Licht auf Cisco und deren Qualitätskontrolle.


BTW, ist der Belkin/Linksys-Deal inzwischen komplett über die Bühne? Hat denn Cisco noch imemr Linksys-Murks in seinem Portfolio oder ist das jetzt offiziell Cisco-Murks?

lks
Member: C.R.S.
C.R.S. Jan 05, 2014 updated at 22:34:53 (UTC)
Goto Top
WAN-seitig betroffene Modelle, die noch nicht auf Github gelistet sind:

Linksys:
WAG54GS
WAG54G2
WAG200G
WAG325N(v2)

Netgear:
WPNT834
Member: colinardo
colinardo Jan 13, 2014 updated at 17:34:16 (UTC)
Goto Top
Cisco hat inzwischen die Backdoor bestätigt und will für seine Router noch im Januar Firmware-Updates bereitstellen:
http://www.golem.de/news/port-32764-cisco-bestaetigt-backdoor-in-router ...

Grüße Uwe
Member: C.R.S.
C.R.S. Jan 26, 2014 at 20:05:11 (UTC)
Goto Top
Ein Update zur oben genannten Verteilung von John Matherly, Shodan:

http://shodanio.wordpress.com/2014/01/23/quick-statistics-on-the-router ...
GermanGeneralRouters, RoutingNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment