Sicherheitsloch in Netzwerkgeräten bedroht fast alle Unternehmen

Router, Switches, IP-Telefone und -Kameras, Printer und vieles mehr: Alle gefährdet, sagt ein Report.
 
"DNS Rebinding" ist eine an sich schon seit 2008 bekannte Methode, durch die Angreifer Geräte in einem Netzwerk in ihre Gewalt bringen können. Anscheinend geriet diese Methode aber in den Jahren seither wieder etwas in Vergessenheit. Im Juni dieses Jahres erregten dann neue Berichte einiger Security-Forscher etwas Aufmerksamkeit, die zeigten, dass durch DNS Rebinding viele Consumer-Devices wie smarte Lautsprecher und ähnliches gekapert werden können.
 
Ein neuer Report des US-Security-Unternehmens Armis besagt aber nun, dass das Problem viel weitgehender ist. Und dass ein Grossteil aller Unternehmen betroffen sein könnte. Die Sicherheitslücke wird zwar anscheinen von Hackern noch nicht aktiv ausgenützt, laut der Schätzung von Armis ist aber ein Grossteil aller weltweit installierten klassischen Netzwerkgeräte gefährdet: 87 Prozent aller Switches, Router und Access Points, 77 Prozent der IP-Telefone, 75 Prozent der IP-Kameras und 66 Prozent aller Printer.
 
DNS Rebinding funktioniert laut Armis vor allem, weil sich Geräte innerhalb eines Unternehmensnetzwerks grösstenteils vertrauen, und die Firewall die Kommunikation zwischen ihnen nicht abblockt. Betroffen sind in erster Linie Geräte, deren Logins nicht geändert wurden und die entweder über das UPnP-Protokoll oder einen unverschlüsselten Webserver angesprochen werden können. Und es handelt sich um "agentenlose" Geräte, auf denen keine Security-Software installiert werden kann.
 
Bevor Angreifer jedoch an diese Geräte herankommen, müssen sie zuerst den Webbrowser eines Mitarbeiters im Unternehmen kapern. Dies kann durch einen Link in einem Mail oder irgendwo im Web geschehen, das den User auf eine mit einem bösartigen JavaScript ausgestattete Webseite führt. Dieses JavaScript wird dann im Browser des Users ausgeführt. Dieser dient so als Proxy hinter der Firewall eines Unternehmens, über den die Angreifer an alle Geräte dahinter herankommen können.
 
Im nächsten Schritt des Angriffes, wie ihn Armis schildert, scannt der Browser des Users die lokalen IP-Adressen und schickt die Resultate zurück zur bösartigen Website. Beide Schritte, so betont Armis, sind schon Sekunden, nachdem ein User eine bösartige Site betreten hat, erledigt.
 
Im nächsten Schritt wird dann der Browser von der Website angewiesen, sich beispielsweise in den HTML-Server eines Netzwerkgeräts einzuloggen. Durch DNS Rebinding werden diese Kommandos laut Armis direkt an die IP-Adresse des angegriffenen Geräts geschickt.
 
Wenn das Login gelingt, können die Angreifer das Gerät kontrollieren und haben verschiedenste Möglichkeiten dies auszunutzen: Sie könnten die Geräte unbrauchbar machen oder manipulieren, sie zu Bots in einem Botnetz machen oder Daten wie von einem Printer gescannte Dokumente, Bilder einer IP-Kamera, SSIDs von Access Points und vieles mehr entwenden. Gekaperte Geräte könnten auch selbst wiederum als Ausgangspunkt verwendet werden, um noch weiter in Netzwerke einzudringen. (Hans Jörg Maron)