News 116 Modelle betroffen: Router-Botnetz aufgrund 5 Jahre alter UPnP-Lücke

[iGameKudan]

Unter anderem aus genau solchen Befürchtungen heraus hab ich mir die FB Cable gekauft, statt sie zu mieten.

Naja, ich habe meine FritzBox 6490 bei routermiete.de gemietet. Kostenpunkt 5€ bei monatlicher Kündbarkeit - zum aktuellen Zeitpunkt wären das also knappe drei Jahre Mietdauer, bis mir die 6490 als Kauf günstiger gekommen wäre.

Vorteil: Ich kann irgendwann mal fließend ohne große Einmalinvestition auf eine DOCSIS3.1-FritzBox upgraden und wenn das Teil kaputt geht, ist das deren Problem.

Bei denen erhält man halt auch eine ganz normale Endkunden-Fritzbox ohne Branding und ohne Funktionseinschränkungen. Kaufen würde ich mir eine FritzBox dank dem Angebot jedenfalls nicht.

 

[Genscher]

Ich habe hier noch einen TP-Link Archer C7 v2, da lässt sich uPnP gar nicht abschalten

Beschwer dich nicht. Ich habe hier noch den v1, den ich gemütlich wegschmeißen kann, weil der noch die WiFi Lücke hat aber keine Updates mehr bekommt.
Seitdem nur noch FritzBox.

 

[von Schnitzel]

Kein einziger Netgear Router betroffen?

Hab mich auch schon gewundert, vor allem, weil die ja eigentlich laut Bericht dabei sein sollten.

 

[jacktheexecuter]

Webcam, NAS, Spielserver, VoIP … es gibt -zig Sachen, die Portforwarding brauchen. Sonst gäbe es auch keine Sammelseiten wie https://portforward.com/. Die Möglichkeit von UPnP, dem zuständigen Router eine Portweiterleitung mitzuteilen, wurde gerade deshalb geschaffen, weil der Großteil der Anwender Probleme damit hat, eine Portweiterleitung von Hand einzurichten.

Geräte werden nicht im sichersten Zustand an den Verbraucher gebracht, sondern in dem, der den niedrigsten Supportaufwand für den Hersteller mit sich bringt. Das heißt häufig, alles zu aktivieren, was möglich ist.



Um von gekaperten Konten massenhaft zu versenden, braucht man aber kein Botnet mit fünf- bis sechsstelligen Teilnehmern. Was ich mir vorstellen kann, ist, daß die Opfer nach Skript zufällige Mailadressen wie fdv0f87sdfv87sdv890sfvsdsdfvvfd90d431@gmail.com & Co. erstellen und von dort aus Kram versenden – dabei nützen ihnen die über sämtliche Länder und Anbieter verteilten IPs, man kann kein Muster für einen Block erstellen.

Das führt leider dazu, dass jeder Horst unsichere Systeme betreibt. Ohne sich auch nur Ansatzweise mit der Thematik zu beschäftigen.
Was wir davon haben, sehen wir täglich.
Um ein Maschinenführer zu werden, legst du auch eine Führerscheinprüfung ab.
Nur Mal als groben Vergleich.

 

[cbtestarossa]

Ich habe hier noch einen TP-Link Archer C7 v2, da lässt sich uPnP gar nicht abschalten

Eventuell kannst du dann in der Routerfirewall Ports 1900, 1500 und 5000 in beide Richtungen blocken.
Und dann eventuell noch Gedanken machen über Ports 445, 135, 137-139, 593 und 3389
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports
Die Frage ist aber ob es hilft. Im schlimmstem Fall entsorgen.

Hier schauen wegen Firmware https://www.tp-link.com/de/download/Archer-C7_V2.html#Firmware
Oder DD-WRT https://wiki.dd-wrt.com/wiki/index.php/TP_Link_Archer_C7
Oder OpenWRT https://openwrt.org/toh/hwdata/tp-link/tp-link_archer_c7_ac1750_v2.0
Keine Ahnung ob das passen würde.

Aber man sieht ja fast schon wöchentlich was die Plastikbomber für löchrige Firmwares haben.
Ausserdem kann man im OS selbst noch UPNP deaktivieren.

 

[tek9]

Sehr schönes Botnetz.

Gut das ich letztens DD-WRT auf meinen D-Link geflasht habe.

Schlecht das man auf die meisten neueren Modelle keine Custom Firmware mehr flashen kann..

 

[Baya]

@cbtestarossa: Hat sich doch mittlerweile deaktivieren lassen. Dennoch ist ein neuer Ubiquiti incoming. Danke!

zum Ubiquiti UAP-AC-Pro:
Habe das Ding zwei Tage getestet, wieder eingepackt und zurück geschickt.
Ich verstehe gar nicht warum diese Produkte so gehypt werden...
Die Einrichtung ist grauenvoll, zickig und kompliziert.
Die WLAN-Abdeckung nicht ansatzweise auf Höhe meines alten TP-Link Routers.

 

[cbtestarossa]

Im Grunde ist es sowieso schon egal. Jedes Pipifax Programm will ins Internet.
Wenn ein Programm raus funken kann wird der Billigrouter die Antwort von draussen durchlassen.
Da hilft nur ne Personal Firewall und alles blocken was nich raus muss.
Hilft halt auch nur bedingt.

 

[Alphanerd]

wie Fritzboxen und Speedports wünschen.

Also mein Speedport hybrid (1.gen) kann gar kein upnp. Weiß es, weil ich auf der Box Probleme mit FH4 hatte und eine Anleitung von MS sah upnp vor. Konnte es anders lösen.

 

[MajesticXII]

@iGameKudan Kannte ich noch gar nicht, danke!

 

[DerKonfigurator]

• TP-LINK: TP-LINK Wireless ADSL2+ Modem Router
• TP-LINK: TP-LINK Wireless ADSL2+ Router

Nicht sonderlich Aussagekräftig mMn., unter der Bezeichnung gibt es doch mehrere Router.

 

[Nitschi66]

@Frank

Was? Meinst du vielleicht:
Da mehrere Modelle keine Sicherheitspatches bekommen haben, umfasst das Botnetz inzwischen mehr als 100.000 Router.

Ich verstehe es immer noch nicht...

 

[Frank]

@Nitschi66 Sowohl als auch gilt das. Da 100.000 betroffen sind, sieht man, dass viele nie ein Update installiert haben <--> Da viele kein Update installiert haben, konnten 100.000 gehackt werden.

 

[cbtestarossa]

Passend dazu https://blog.fefe.de/?ts=a5107626

Ich denke das Vernünftigste ist nur noch Geräte mit Open-WRT und DD-WRT Suport zu kaufen.
Was bei gewissen Vertragsroutern natürlich ein Problem sein wird.

 

[GGG107]

Ich weiß mittlerweile gar nicht mehr über was man sich mehr kaputt lachen kann, die Politik oder Microsoft, tun sich beide nichts. Also was da vor allem in den letzten Paar Jahren abging sprengt echt jedes Stand-Up.

Ergänzung (16. November 2018)

Was bei gewissen Vertragsroutern natürlich ein Problem sein wird.

Vor allem bei Kabel stelle ich mir noch die Frage wie ich das am besten machen soll...

 

[Sebbi]

Ich denke das Vernünftigste ist nur noch Geräte mit Open-WRT und DD-WRT Suport zu kaufen.

hmmm ob die soviel besser sind? https://www.heise.de/newsticker/meldung/Root-Luecke-in-freier-Router-Firmware-DD-WRT-6647.html

dann man ließt immer wieder von, das es da richtig schwerwiegende Lücken gibt.

 

[GGG107]

hmmm ob die soviel besser sind?

Ich nehme mal an die werden immer recht schnell gefixt sein.
Gerade so offene Konkurrenz ist gern Ziel irgendwelcher Anti-PR-Kampagnen.

Und davon ab - Ja, WRT ist um einiges besser.

 

[cbtestarossa]

Seh ich auch so.
Selbst OpenSSL hatte schon geügend Bugs und wurde gefixt.

Aber was macht man mit solchen Plastikbombern wo es nix mehr gibt?
Genau -> Elektroschrott.

Und das traurige ist, es betrifft fast alle Hersteller.
Die Qualität einiger solcher Firmwares soll ja teilweise auch unterirdisch sein.

 

[tek9]

hmmm ob die soviel besser sind? https://www.heise.de/newsticker/meldung/Root-Luecke-in-freier-Router-Firmware-DD-WRT-6647.html

dann man ließt immer wieder von, das es da richtig schwerwiegende Lücken gibt.

Der Artikel ist knapp 10 Jahre alt.

Sonst noch was?

Wenn man immer wieder davon liest, wirst du sicherlich bessere Quellen liefern können als ein uralter Artikel bei heise.

 

[cbtestarossa]

Vor allem bei Kabel stelle ich mir noch die Frage wie ich das am besten machen soll...

Naja gibt es da nicht ein Gesetz wo sie die Zugangsdaten herausrücken müssen?
Müsste man natürlich mal testen ob es damit auf Kaufroutern läuft.