Der Router-Hersteller AVM verfolgt die Entwicklung, die Sicherheitsforscher angestoßen haben, zwar aufmerksam, sieht aber derzeit keine unmittelbare Gefahr für Teilnehmer-Router in Deutschland.
Routerhersteller AVM sieht in der kürzlich bekannt gewordenen Sicherheitslücke in der von vielen Providern eingesetzten TR-069-Fernwartungssoftware keine umittelbarer Gefahr für Fritzboxen. „Die Schwachstellen betreffen die Software, die auf den ACS-Servern laufen“, betonte ein AVM-Sprecher gegenüber heise Netze. Zumindest in Deutschland seien diese Auto Configuration Server Teil einer Infrastruktur mit hohen Anforderungen an das Schutzniveau, das Thema sei „endgeräteunabhängig“.
Der Sicherheitsforscher Shahar Tal hatte ernste Sicherheitslücken in der Server-Implementierung aufgedeckt, mit der Netzbetreiber und Provider die Router von Teilnehmern fernwarten. Tal auf der Def Con 22 unter anderem von einem Fall berichtet, bei dem sich durch solche Sicherheitslücken Millionen von Teilnehmer-Routern eines Providers im Nahen Osten prinzipiell hätten kapern lassen.
In Deutschland können sachkundige Nutzer bei der Wahl des Geräts zumindest bei einigen Providern bestimmen, ob sie auf die TR-069-Fernwartung gegebenenfalls verzichten wollen. Bei vielen Routern, die die Provider stellen, lässt sich TR-069 nämlich abschalten. Als Faustregel gilt, wenn der Router dem Teilnehmer gehört, dann ist TR-069 normalerweise abschaltbar. Ein Beispiel sind Router, die man im Rahmen von Verträgen mit 1&1 beziehen kann. Nutzt der Kunde hingegen ein Mietgerät, dann hat das in der Regel kein User-Interface, um TR-069 abzuschalten.
Grundsätzlich initiiert bei TR-069 nur der Teilnehmerrouter (Customer Premises Equipment, CPE) den Verbindungsaufbau, er läuft also stets nur vom CPE zum ACS. Angreifer können keine Verbindung zum CPE aufbauen. Der ACS kann lediglich eine Verbindung anfordern, die der Router in der Folge der Anforderung dann zum vorher bekannten ACS initiiert. AVM sieht das grundsätzlich als Sicherheitsmerkmal.
Fernwartung mit oder ohne Verschlüsselung
Shahar Tal hatte unter anderem jedoch kritisiert, dass zumindest ein von ihm untersuchter Server von den Teilnehmer-Routern unverschlüsselt angesprochen worden sei und in einem anderen Fall bestimmte Teilnehmer-Router sogar beliebige, selbstunterzeichnete Zertifikate akzeptiert hätten In beiden Fällen sind also Man-in-the-Middle-Attacken möglich.
Die Ziel-Adresse, die sogenannte ACS-URL, gibt der Anbieter vor, genauso wie das Protokoll, also HTTP oder HTTPS. AVM betont: „In Deutschland verwendet die überwiegende Anzahl der Anbieter HTTPS-verschlüsselte Verbindungen. Der Standard sieht eine starke Authentifizierung des ACS gegenüber dem CPE mittels Zertifikaten vor.“
Zusätzlich führt AVM ins Feld, dass bei Fritzbox-Routern weitere Sicherheitsmaßnahmen umgesetzt worden seien: „So überprüft die Fritzbox standardkonform die Authentizität des ACS mittels Zertifikaten und anhand einer fest eingestellten Liste vertrauenswürdiger Zertifizierungsstellen, ähnlich wie Browser dies beim Online-Banking machen. Nur bei positiver Prüfung wird die Verbindung weiter aufgebaut und dem ACS vertraut. Die Liste vertrauenswürdiger Zertifizierungsstellen kann zur Laufzeit nicht verändert werden.“
Zugangsdaten lassen sich nicht auslesen
Bei den meisten Routern kann der Anwender TR-069 im Bereich Anbieter-Dienste generell ein- und ausschalten. Aus Teilnehmersicht ist interessant zu wissen, dass sich prinzipiell auch vorgeben lässt, ob der Provider auch Firmware-Updates einspielen darf. Diese Option hat beispielsweise AVM implementiert. Zusätzlich führt der Berliner Hersteller ins Feld, dass Fritzbox-Router unabhängig von TR-069 die Firmware-Images nur dann annehmen, wenn sie vom Hersteller selbst signiert sind und die Signatur-Prüfung bestehen.
Via TR-069 können bei der Fritzbox die meisten Zugangsdaten nur gesetzt werden. Ein Auslesen zum Beispiel von VoIP-Credentials ist nicht möglich. Im Szenario eines gehackten ACS wäre es für einen Angreifer aber wohl auch einfacher, die Daten aus der zentralen Provider-Datenbank auszulesen anstatt aus einzelnen CPEs. (dz)
(Schaut einfach mal hier) Webseite aufrufen