Was ein echter Bug und was eine gezielte Hintertür ist, lässt sich angesichts der Enthüllungen der letzten Wochen und Monate kaum mehr mit Sicherheit beantworten. Entsprechend darf nun ein neuer Vorfall rund um eine Reihe von Routern der Firmen Linksys und Netgear für Spekulationen sorgen.

Verblüffende Erkenntnis

Hat doch der auf Reverse Engineering spezialisierte Entwickler Eloi Vanderbecken herausgefunden, dass zahlreiche Router auf dem Port 32764 auf Befehle warten. Wie sich nach einer gezielten Firmware-Analyse zeigt, dürfte es sich hierbei um eine Konfigurationsschnittstelle handeln, deren Vorhandensein allerdings nirgendwo dokumentiert ist.

Offen

Dies darf auch nicht verwundern, lässt sich auf diesem Weg doch jegliche Passwortsperre umgehen. Ohne Autorisierung kann über den betreffenden Port nicht nur der Router in den Werkzustand versetzt werden, das Gerät liefert auf Anfrage auch brav alle WLAN-Passwörter im Klartext.

Außenstelle

Besonders besorgniserregend: Bei einigen der betroffenen Geräte ist diese Schnittstelle sogar aus dem Internet erreichbar - also nicht nur aus dem lokalen Netz. Wie heise security aufgespürt hat, lassen sich denn auch tatsächlich über die Spezialsuchmaschine Shodan mehrere tausende IP-Adressen finden, bei denen der betreffende Port von außen zu erreichen ist.

Aufgespürt

Vanderbecken hatte diesen Effekt bei seinem WAG200G-Router von Linksys entdeckt und öffentlich gemacht. Wie sich mittlerweile zeigt sind aber auch zahlreiche andere Modelle betroffen. Entsprechende Informationen werden derzeit auf Github zusammengetragen.

Ursachenforschung

Dass bei erfolgreicher Verbindungsaufnahme mit dem Port 32764 die Zeichenfolge "ScMM" zurückgesendet wird, liefert eine wichtige Spur für die Hintergründe der Angelegenheit. Offenbar handelt es sich bei all den Geräten um Router, die von der Firma SerComm als OEM für Linksys und Netgear produziert wurden. Das Unternehmen soll übrigens auch andere Hersteller wie Belkin und LevelOne beliefern, bisher ist aber noch nicht klar, ob auch deren Router betroffen sind. (red, derStandard.at, 03.01.14)