Sicherheit bei vielen Home-Routern mangelhaft

Das Fraun­ho­fer-Insti­tut für Kom­mu­ni­ka­ti­on, Infor­ma­ti­ons­ver­ar­bei­tung und Ergo­no­mie, FKIE, hat in einer aktu­el­len Unter­su­chung (“Home Rou­ter Secu­ri­ty Report 2020″) 127 Heim-Rou­ter auf ver­schie­de­ne Kri­te­ri­en hin unter­sucht. Im Fokus stand die Sicher­heit und die Zuver­läs­sig­keit. Dabei wur­de unter ande­rem das Firm­ware-Image extra­hiert und anhand der ver­wen­de­ten Ker­nel-Ver­si­on die Anzahl der bekann­ten, nicht beho­be­nen Sicher­heits­lü­cken (CVE) ermit­telt.

91 Pro­zent der unter­such­ten Rou­ter ver­wen­den dabei ein Betriebs­sys­tem auf Linux-Basis. Das wären eigent­lich gute Vor­aus­set­zun­gen für maxi­ma­le Sicher­heit, schließ­lich wird der Linux-Ker­nel regel­mä­ßig aktua­li­siert und mit Sicher­heits­up­dates ver­sorgt. Aller­dings müss­ten die Her­stel­ler natür­lich ihrer­seits Firm­ware-Updates bereit­stel­len, die die­se Fixes auch ent­hal­ten. Das spa­ren sich vie­le Her­stel­ler lei­der und dann wird die Basis “Linux” zur Fal­le, denn die Sicher­heits­lü­cken sind gut doku­men­tiert und wenn sie nicht geschlos­sen wer­den, sind sie für Angrei­fer rela­tiv leicht aus­zu­nut­zen:

Our ana­ly­sis show­ed that Linux is the most used OS run­ning on more than 90% of the devices.
Howe­ver, many rou­ters are powe­red by very old ver­si­ons of Linux. Most devices are still powe­red with a 2.6 Linux ker­nel, which is no lon­ger main­tai­ned for many years. This leads to a high num­ber of cri­ti­cal and high seve­ri­ty CVEs affec­ting the­se devices.
Sin­ce Linux is the most used OS, explo­it miti­ga­ti­on tech­ni­ques could be enab­led very easi­ly. Any­how, they are used qui­te rare­ly by most ven­dors except the NX fea­ture.

Zudem wird kri­ti­siert, dass die meis­ten Her­stel­ler pri­va­te Keys in ihren Images mit aus­lie­fern oder hard­ko­dier­te Log­ins ent­hal­ten:

The bad news is that 50 rou­ters do pro­vi­de hard-coded creden­ti­als. 16 rou­ters have well known or easy crack­able creden­ti­als. The worst device is the Net­ge­ar RAX40 with the fol­lowing three well-known creden­ti­als:
— root:amazon
— nobody:password
— admin:password
Howe­ver, we do not know, if you can log on to the­ses accounts remo­te­ly.
ASUS is the only ven­dor not sto­ring any hard-coded creden­ti­al in its firm­ware images.

Im Fazit kom­men auf­grund der Unter­su­chun­gen nur weni­ge Her­stel­ler gut weg:

AVM does bet­ter job than the other ven­dors regar­ding most aspects. ASUS and Net­ge­ar do a bet­ter job in some aspects than D‑Link, Link­s­ys, TP-Link and Zyxel.

Die voll­stän­di­ge Unter­su­chung kann beim Fraun­ho­fer-Insti­tut ein­ge­se­hen wer­den.