Sicherheit bei vielen Home-Routern mangelhaft

Verfasst vonNero24

Das Fraun­ho­fer-Insti­tut für Kom­mu­ni­ka­ti­on, Infor­ma­ti­ons­ver­ar­bei­tung und Ergo­no­mie, FKIE, hat in einer aktu­el­len Unter­su­chung (“Home Rou­ter Secu­ri­ty Report 2020″) 127 Heim-Rou­ter auf ver­schie­de­ne Kri­te­ri­en hin unter­sucht. Im Fokus stand die Sicher­heit und die Zuver­läs­sig­keit. Dabei wur­de unter ande­rem das Firm­ware-Image extra­hiert und anhand der ver­wen­de­ten Ker­nel-Ver­si­on die Anzahl der bekann­ten, nicht beho­be­nen Sicher­heits­lü­cken (CVE) ermittelt.

91 Pro­zent der unter­such­ten Rou­ter ver­wen­den dabei ein Betriebs­sys­tem auf Linux-Basis. Das wären eigent­lich gute Vor­aus­set­zun­gen für maxi­ma­le Sicher­heit, schließ­lich wird der Linux-Ker­nel regel­mä­ßig aktua­li­siert und mit Sicher­heits­up­dates ver­sorgt. Aller­dings müss­ten die Her­stel­ler natür­lich ihrer­seits Firm­ware-Updates bereit­stel­len, die die­se Fixes auch ent­hal­ten. Das spa­ren sich vie­le Her­stel­ler lei­der und dann wird die Basis “Linux” zur Fal­le, denn die Sicher­heits­lü­cken sind gut doku­men­tiert und wenn sie nicht geschlos­sen wer­den, sind sie für Angrei­fer rela­tiv leicht auszunutzen:

Our ana­ly­sis show­ed that Linux is the most used OS run­ning on more than 90% of the devices.
Howe­ver, many rou­ters are powered by very old ver­si­ons of Linux. Most devices are still powered with a 2.6 Linux ker­nel, which is no lon­ger main­tai­ned for many years. This leads to a high num­ber of cri­ti­cal and high seve­ri­ty CVEs affec­ting the­se devices.
Sin­ce Linux is the most used OS, exploit miti­ga­ti­on tech­ni­ques could be enab­led very easi­ly. Anyhow, they are used quite rare­ly by most ven­dors except the NX feature. 

Zudem wird kri­ti­siert, dass die meis­ten Her­stel­ler pri­va­te Keys in ihren Images mit aus­lie­fern oder hard­ko­dier­te Log­ins enthalten:

The bad news is that 50 rou­ters do pro­vi­de hard-coded cre­den­ti­als. 16 rou­ters have well known or easy crackable cre­den­ti­als. The worst device is the Net­gear RAX40 with the fol­lo­wing three well-known credentials:
— root:amazon
— nobody:password
— admin:password
Howe­ver, we do not know, if you can log on to the­ses accounts remotely.
ASUS is the only ven­dor not sto­ring any hard-coded cre­den­ti­al in its firm­ware images.

Im Fazit kom­men auf­grund der Unter­su­chun­gen nur weni­ge Her­stel­ler gut weg:

AVM does bet­ter job than the other ven­dors regar­ding most aspects. ASUS and Net­gear do a bet­ter job in some aspects than D‑Link, Link­sys, TP-Link and Zyxel. 

Die voll­stän­di­ge Unter­su­chung kann beim Fraun­ho­fer-Insti­tut ein­ge­se­hen werden.