Ein Sicherheitsexperte hat auf der Black Hat-Konferenz einen Angriff auf Router demonstriert, mit dem die Firewall eines Anwenders beim Aufruf einer manipulierten Seite ausgeschaltet werden kann. Craig Heffner macht sich dabei eine Kombination bekannter Schwachstellen zunutze, berichtet heise.

Unsicheres Passwort 

Voraussetzung für den Angriff sei zunächst, dass das Passwort des Routers bekannt ist. Sofern es sich um das Default-Passwort des Herstellers oder um ein sehr schwaches (z.B. 12345) handelt, würde die weitere Vorgehendweise kein Problem mehr darstellen.

Firewall deaktivieren

Der Angriff basiere darauf, dass ein von einem Angreifer kontrollierter DNS-Server zwei Adressen für eine Web-Seite zurückliefere. Neben der echten IP-Adresse werde auch die Adresse des aktuellen Besuchers der Website - die externe Schnittstelle des Routers - zurückgemeldet. Über die richtige Server-Adresse könnte dann beispielsweise eine Web-Seite aufgerufen werden, auf der ein JavaScript-Code auf eine weitere Seite mit den Firewall-Einstellungen verweist. Da der Server die Annahme dieser Verbindung nicht akzeptiert, greife der Browser auf die zweite Adresse zurück. So könne das Skript die Website mit den Firewall-Einstellungen des Routers aufrufen und die Firewall deaktivieren. Schuld daran sei die Tatsache, dass Router Anfragen auf der internen Schnittstelle akzeptieren, die eigentlich an die äußere gerichtet seien.

Sicherheitsmaßnahmen

Neben sicheren Passwörtern, wird Nutzern empfohlen die Website zu den Router-Einstellungen immer nur in einem einzelnen Browser-Fenster zu öffnen, um ein Eingreifen von externen Skripten zu verhindern. Auch regelmäßige Updates des Routers gehören zu den mindestens Schutzmaßnahmen. (red)