15 Jahre TecChannel - der beliebteste Artikel im Jahr 2009

Millionen DSL-Router hochgradig gefährdet

Das Passwort allein schützt nicht

Beim Angriff gibt es eine einzige Hürde: Das Web-Interface der DSL-Router ist meist über ein Passwort geschützt, an dem auch ein simulierter „POST“ nicht ohne Weiteres vorbeikommt. Da sich AVM des Sicherheitsrisikos seit geraumer Zeit bewusst ist, wird man bei der ersten Konfiguration der Fritz!Box über den Web-Browser seit einigen Firmware-Revisionen eindringlich zur Vergabe eines Passwortschutzes gedrängt. Bei einigen anderen Router-Herstellern ist der Passwortschutz sogar zwingend erforderlich und kann gar nicht deaktiviert werden. Aber um es gleich vorwegzunehmen: Der Schutz der Web-Oberfläche durch das Passwort ist mitunter wirkungslos und der CSRF-Angriff gelingt dennoch.

Außerdem zeigt die Erfahrung, dass viele Anwender immer noch auf ein Passwort verzichten oder die Werkseinstellungen nicht verändern. Aus dem internen Netz vermuten sie keine Angriffe, hinter der Firewall fühlen sie sich mit ihren privaten IP-Adressen sicher. Auch das Argument einer Gefährdung durch ein WLAN gilt seit der sicheren Verschlüsselung mit WPA nicht mehr, sodass man aus Bequemlichkeit den Kennwortschutz nicht nutzt.

Aber selbst wenn ein Kennwort gesetzt ist: Wer beim Browsen mehrere Fenster geöffnet hat und in einem davon auf dem DSL-Router eingeloggt ist, ist von allen anderen Fenstern aus komplett ungeschützt. Bei Zugriffen auf einen Server nutzt der Browser trotz mehrerer Tabs nämlich immer nur eine Session. Alle Zugriffe auf den DSL-Router erfolgen in diesem Fall mit den Rechten des legal eingeloggten Browser-Tabs. Dabei ist es auch kein Schutz, wenn Browser wie Chrome oder der IE8 für jedes Tab einen eigenen Prozess starten. Daher werden CSRF-Angriffe oft auch als Session Riding bezeichnet.

Aber es kommt noch schlimmer: Das Web-Interface der Fritz!Box beispielsweise kennt keinen Logout. Wie uns AVM auf Nachfrage bestätigt hat, hält die Fritz!Box nach einem Zugriff die Session noch fünf Minuten lang geöffnet. Auch Linksys und ZyXEL verwenden wie die meisten DSL-Router ein derartiges Zeitfenster. Erst wenn mehrere Minuten lang keine User-Aktion mehr stattfand, loggen die DSL-Router den Besucher automatisch aus.

Lobenswert: ZyXEL bietet neben dem automatischen Logout nach fünf Minuten auch einen Menüpunkt zum sofortigen Abmelden an.
Lobenswert: ZyXEL bietet neben dem automatischen Logout nach fünf Minuten auch einen Menüpunkt zum sofortigen Abmelden an.

Auch wenn man den Browser-Tab mit der Fritz!Box-Konfiguration also längst geschlossen hat, kann man innerhalb dieses Zeitfensters mit einem CSRF-Angriff ohne weitere Passwortabfrage die Konfiguration der Fritz!Box beliebig modifizieren. Schafft es ein Angreifer, den Schadcode in einem Fritz!Box-affinen Umfeld wie einem DSL-Forum oder einem Workshop zur Fritz!Box zu platzieren, hat er gute Chancen auf einen Erfolg.