Schlagwort-Archive: Backdoor

Backdoor in Unitymedia Routern

Das Bekanntwerden des Bundestrojaner hat in den Medien hohe Wellen geschlagen. Völlig unbemerkt hat aber der größte Kabelnetzanbieter Unitymedia eine Backdoor in ihren Routern eingebaut.

Aufgefallen ist mir diese Backdoor durch eine Mail, die Unitymedia an Kunden mit einer AVT Fritzbox 6360 verschickt hat. In dieser Mail wurde darauf hingewiesen, dass es zu Störungen durch ein Firmware-Update am 11. und 12. Januar 2012 kommen könnte.

In den Einstellungen der Fritzbox ist die Fernwartung deaktiviert. Eine Recherche forderte jedoch folgenden Beitrag zu Tage http://de.wikipedia.org/wiki/TR-069. Dieses Protokoll könnte erklären warum Unitymedia dennoch in der Lage ist das Firmware-Update einzuspielen. Exportiert man die Einstellungen der Fritzbox zeigt sich, dass dies Unterstützung aktiv ist. Das manuelle Ändern und Zurückspielen funktioniert übrigens nicht.

Diese Hintertür ist definitiv ein großes Sicherheitsrisiko. Durch das Austauschen der Router-Firmware wäre kriminellen oder staatlichen Institutionen möglich eine Spionage Firmware einzuspielen mit der der Zugriff auf das komplette interne Netzwerk möglich ist. Damit könnte insbesondere die kopierten Dateien zwischen Rechner und NAS protokolliert werden oder Angriffe auf, die im Intranet meist weniger geschützten, Geräte vorbereitet werden. Das alles ohne sich mit der Verschlüsselung oder der Firewall herumplagen zu müssen. Zusätzlich noch komplett unbemerkt und von jedem Ort der Welt aus möglich.

Passend dazu präsentiert sich dann ein externer Portscan. Im Idealfall würden sich keine Ports finden lassen. Aber auch geschlossene (closed) oder gefilterte (filtered) wären ok. Offene Ports sind aber ein Sicherheitsrisiko. Von denen finden sich gleich 2. Der SIP Port und ein unbekannter Port 8089.

Starting Nmap 5.21 ( http://nmap.org ) at 2012-01-28 16:57 CET
Nmap scan report for ip-178-203-x-x.unitymediagroup.de (178.203.x.x)
Host is up (0.063s latency).
Not shown: 997 filtered ports
PORT     STATE  SERVICE
113/tcp  closed auth
5060/tcp open   sip
8089/tcp open   unknown

Nmap done: 1 IP address (1 host up) scanned in 157.14 seconds

Es zeigt 2 offene Ports. Der SIP Port ist für die Netzinterne VOIP Telefonie. Der 8089 ist nicht dokumentiert. Ein Verbindungsaufbau mit Telnet ist allerdings erfolgreich. Anfragen werden mit einem „HTTP/1.1 400 Bad Request“ abgetan.

Unitymedia als Internet Service Provider (ISP) verfügt schon über eine gewaltige Menge an Daten über mich. Jede Suchanfrage durchläuft als erstes ihre Server. Als Kunde verlasse ich mich darauf, dass sie diese Daten vertraulich behandeln. Die Hintertür in mein Internes Netzwerk erfüllt mich allerdings dennoch mit Sorge, zu groß könnte die Versuchung sein diese für kriminelle Zwecke zu missbrauchen. Als Kunde ist man diesem Treiben allerdings nicht schutzlos ausgeliefert. Zum einen besteht die Möglichkeit den Vertrag zu Kündigen und sich nach einem anderen ISP umzuschauen und zum Anderen besteht eine pragmatische Möglichkeit darin noch einen weiteren Router hinter der Fritzbox aufzustellen und diesen für das interne Netz zu verwenden. Letzteres könnte allerdins mit dem Woman Acceptance Factor (WAF) kollidieren, wo dann das weniger an Sicherheit vielleicht das kleinere Übel ist ^^.