Test zum Nachweis der neuen Backdoor auf Routern

Die gestrige Nachricht über eine Backdoor in Routern, die eventuell auch über das Internet ausgenutzt werden kann, hat viele Anwender beunruhigt. Heise Online hat daher ein Testszenario erstellt, mit dem sich testen lässt ob der Router über diese Backdoor verfügt und wenn ja, ob diese auch über das Internet erreichbar ist.

Die Liste der betroffenen Geräte wird immer länger. Mit dem Netgear DG834B V5.01.14 steht auch der erste Router in der Liste, bei dem bestätigt ist, dass die Backdoor über das Internet erreichbar ist. Besitzer von Routern, die in der Liste weder bestätigt noch ausgeschlossen sind, fragen sich aber immer noch, ob sie von der potenziell sehr gefährlichen Lücke betroffen sind.

Mit einigen kleinen Tests lässt sich jetzt etwas Licht ins Dunkel bringen. Unter Windows kann ein Schnelltest mit Telnet ersten Aufschluss geben. Ab Windows 7 muss hierzu Telnet zunächst aktiviert werden. Dann kann mittels des Befehls „telnet <router ip> 32764“ in der Eingabeaufforderung getestet werden, ob jemand auf Port 32764 lauscht. Kommt hier das Kürzel „ScMM“ oder „MMcS“ zurück, ist dies ein sicherer Indikator für das Vorhandensein der Backdoor. Unter Linux kann alternativ Netcat verwendet werden.

Ist dieser Test positiv, ist das schlimm genug. Aber erst ein weiterer Test klärt ob der Router über die Backdoor auch von außen erreichbar ist. Hierzu kann der Portscan von Heise Online genutzt werden. In diesem Fall ist dort „Mein Scan“ auszuwählen und in das Feld darunter „32764“ einzutragen. Erscheint das Ergebnis mit einem grünen Balken hinterlegt, ist der Port geschlossen, bei rotem Balken ist der Port offen. Sollte der Port nicht manuell geöffnet worden sein, besteht die Gefahr, dass eine zufällige Entdeckung dieses offenen Ports zum Auslesen der Router-Konfiguration samt Passwörtern führt. Außerdem kann der Router von außen auf Werkszustand gesetzt werden, was ihn völlig offen für Manipulationen bis hin zum Umleiten des Datenverkehrs durch Änderung des DNS-Servers macht. Sollte der Netzwerkcheck positiv sein, kann dieser mit dem dezidierten Backdoor-Test überprüft werden.

Als letztes können Anwender versuchen, die Router-Konfiguration auszulesen. Dazu sollte ein anderer Internetanschluss verwendet werden. Der Rechner, auf dem das Script von Eloi Vanderbeken, dem Entdecker der Backdoor, läuft, muss eine Python-Installation aufweisen. Der Befehl „python backdoorolol.py --ip <IP-Adresse des Routers> --print-config“ gibt aus, ob der Router angreifbar ist und versucht, im positiven Fall als Beweis die Konfigurationsdatei des Routers auszulesen. Sollte der Router von außen über das Internet erreichbar sein, sollte er sofort vom Netz genommen werden.

Von den Herstellern der betroffenen Geräte steht eine Stellungnahme derzeit noch aus.