Ungepatchte Router von verschiedenen Herstellern werden von unbekannten Angreifern ins Visier genommen, um diese in das BCMUPnP_Hunter-Botnetz aufzunehmen. Zum jetzigen Zeitpunkt soll das Botnetz aus 100.000 gekaperten Geräten bestehen, die im Verbund Spam-Mails versenden.

Auf diese Sicherheitslücke sind Sicherheitsforscher von Netlab gestoßen. In ihrem Bericht gehen sie davon aus, dass die Anzahl der infizierten Geräte rasant steigen wird. Dabei geschehen die Zugriffe auf verwundbare Router weltweit – darunter befinden sich auch Ziele in Deutschland. Die meisten Attacken soll es in China, Indien und den USA geben.

In dem Bericht listet Netlab 116 bedrohte Modelle auf. Darunter sind beispielsweise Geräte von Broadcom, D-Link, Linksys, TP-Link und Zyxel. Das gravierende daran ist, dass die Lücke schon fünf Jahre existiert und viele Router offensichtlich noch nicht abgesichert sind. Besitzer von betroffenen Routern sollten sicherstellen, dass sie die aktuelle Firmware installiert haben.

Es handelt sich bei der Schwachstelle um eine UPnP-Lücke. Die UPnP-Funktion im Router muss aktiviert sein, damit ein Angriff erfolgreich ist. Über Universal Plug and Play (UPnP) können beispielsweise Geräte in einem Netzwerk miteinander kommunizieren und ohne Zutun des Nutzers dafür nötige Ports öffnen.

Der Bedrohungsgrad wurde von Sicherheitsforscher bei Defensecode 2013 als "kritisch" eingestuft. Den verwundbaren UPnP Stack von Broadcom sollen Angreifer aus der Ferne ohne Authentifizierung attackieren können. Weitere Details zur Schwachstelle können in der Sicherheitswarnung von Defensecode nachgelesen werden.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE