Die meisten Router-Hersteller geben an, ältere OpenSSL-Versionen zu nutzen. Etliche liefern aber keine Belege dafür, dass ihre Geräte nicht verwundbar sind. Sicherheitsbewusste Nutzer müssen also die Ärmel hochkrempeln und die Geräte selbst testen.
Die Verschlüsselungsbibliothek OpenSSL spielt bei Routern eine wichtige Rolle, weil sie bei vielen Modellen für den verschlüsselten Zugriff auf die Konfiguration des Geräts eingesetzt wird, sei es aus dem LAN oder aus dem Internet (Remote Management). Manche Router setzen SSL aber auch für die verschlüsselte Kommunikation mit Cloud-Diensten des Herstellers ein oder für den Aufbau von VPN-Verbindungen, beispielsweise für OpenVPN.
Setzt ein Router eine verwundbare OpenSSL-Version ein (OpenSSL 1.0.1 bis 1.0.1f), können Angreifer über den Heartbleed-Bug an den geheimen Server-Schlüssel, Passwörter oder andere, eigentlich verschlüsselt übertragene Daten kommen. Ist dann auch noch Fernwartung aktiv, sind einem Angreifer mit dem Konfigurationspasswort des Routers weitreichende Eingriffe möglich, beispielsweise Änderungen des DNS-Servers zur Umleitung von PCs auf präparierte Server oder Manipulationen der VoIP-Telefonie zu Gunsten des Angreifers.
Die meisten auf dem deutschen Markt aktiven Router-Hersteller gaben in einer aktuellen Befragung der heise-Netze-Redaktion an, dass ihre Router nicht verwundbar sind. Vorsicht geboten ist aber zumindest bei einigen Geräten von Buffalo. In den Geräten, in denen Buffalo sein eigenes Router-Betriebssystem einsetzt, kommen zwar ältere und nicht verwundbare OpenSSL-Versionen zum Einsatz, aber einige Router-Modelle sind auch mit dem Betriebssystem DD-WRT erhältlich. Diese verwenden Buffalo zufolge verwundbare OpenSSL-Versionen. Updates erwartet das Unternehmen von den DD-WRT-Entwicklern. DD-WRT hat OpenSSL im eigenen Repository bereits auf eine gefixte Version aktualisiert, aber wie die Entwickler melden, kann es noch einige Tage dauern, bis die Aktualisierung für jedes einzelne Router-Modell umgesetzt ist.
Netgear gibt auf Anfrage von heise Netze an, dass seine Router ebenfalls nicht betroffen seien. Verwundbar sind jedoch viele NAS-Geräte aus eigenem Hause. Das Unternehmen hat dazu keine Einzelheiten mitgeteilt, sondern lediglich die betroffenen ReadyNAS-Serien aufgeführt. Für diese Serien gibt es die neue Firmware-Version 6.1.7, die das Sicherheitsloch schließt. Ältere ReadyNAS-Serien sind laut Netgear nicht vom HeartBleed-Bug betroffen und daher nicht erwähnt.
Schweiger und Knauserer
Nur vier von vierzehn befragten Router-Herstellern haben Wege geschaffen, über die sich Nutzer selbst informieren können, welche OpenSSL-Version ihr Gerät einsetzt. Bei Asus und DrayTek kann man das per Kommando etwa in einer Telnet- oder SSH-Sitzung auslesen, während AVM und Belkin die Information in den Begleit-Notizen zu der von ihnen eingesetzten OpenSource-Software aufführen.
Einige Router-Hersteller geben sich zum Thema OpenSSL komplett zugeknöpft und versichern lediglich, dass ihre Geräte nicht verwundbar seien, während Apple bisher gar nicht geantwortet hat. [Update 17.4.2014, 14:48]: Edimax hat sich immerhin nach erscheinen dieses Beitrags gemeldet. /[Update] Letztlich spielen beide Gruppen, sowohl die Schweiger als auch die Informations-Knauserer, die Frage zum Nutzer zurück. Um letzte Gewissheit zu erhalten, müssen sicherheitsbewusste Nutzer im Grunde die Ärmel selbst hochkrempeln.
Ob ein Router anfällig ist, lässt sich immerhin mit vertretbarem Aufwand zum Beispiel mittels Test-Modulen oder Prüf-Diensten feststellen. Eine Zusammenfassung finden Sie bei den Kollegen von heise Security. Falls Sie ein Gerät testen wollen, das keinen Zugang zum Internet hat, können Sie alternativ das Python-Tool hb-test.py einsetzen. Es eignet sich auch, um die SSL-Varianten der Protokolle SMTP, POP3, IMAP, FTP und XMPP zu testen.
Falls Ihr Router anfällig ist
Falls sich Ihr Router als anfällig erweist: Schalten Sie als erstes die Fernkonfiguration respektive die Internet-Dienste aus (Remote Management), die SSL einsetzen und informieren Sie den Hersteller, sofern er nicht schon ein Firmware-Update anbietet. Falls nicht, weichen Sie für die Fernkonfiguration wenn möglich auf IPSec-vermittelte VPN-Verbindungen aus.
| Hersteller | Wird OpenSSL eingesetzt? | HeartBleed-Anfällig laut Hersteller | OpenSSL-Version in Verwendung | SSL-Version auslesen | Bemerkungen |
| Apple | keine Antwort | keine Antwort | keine Antwort | keine Antwort | ? |
| Asus | für Remote-Login und SmartSync | nein | 1.0.0b und 1.0.0d (beide von HeartBleed nicht betroffen) | Telnet aktivieren (Menü ?Administration, System, Telnet?), im Terminal Telnet-Sitzung zum Router öffnen und mit dem Befehl openssl version -a abfragen | Asus plant Updates auf OpenSSL 1.0.1g |
| AVM | für Remote-Login | nein | nur 0.98 (nicht von HeartBleed betroffen) | Infos zu eingesetzten OpenSource-Paketen laden und lesen, ftp.avm.de /fritz.box/ öffnen, Fritzbox-Modell wählen und den Ordner x_misc/opensrc öffnen | ? |
| Belkin | für Remote-Login | nein | keine Angaben | siehe mitgelieferte Open Source License Notice | Zu Belkin gehört inzwischen auch die Router-Marke Linksys |
| Bintec | keine Angaben | nein | keine Angaben | keine Angaben | Bintec meldet: „Da die Geräte auf Basis unseres proprietären Betriebssystems BOSS betrieben werden und wir Außenstehenden hierzu keinen Einblick geben, können wir zu Ihren weiteren Fragen keine Stellung nehmen.“ |
| Buffalo | für Login | nein | keine Angaben | keine Angaben | Buffalo meldet: „Einige Router, die mit DD-WRT arbeiten, sind betroffen. Wir erwarten hierzu Updates von DD-WRT in Kürze.“ |
| D-Link | für Login und Remote Login | nein | keine Angaben | nicht vorgesehen | ? |
| DrayTek | für Login und Remote Login | nein | diverse | Vigor2130, 2750: „openssl version“ in Kommando -Zeile eingeben, VigorFly, VigorAP series, Vigor2760, 2960, 3900: siehe GPL Sourcecode Release Package auf ftp.draytek.com, Vigor 2925, 2860, 2710 und andere mit DrayOS: nicht verwundbar, weil modifizierte Version von OpenSSL 0.9.7b im Einsatz | ? |
| Edimax | nein | nein | keine | nicht erforderlich | Edimax meldet: „Da unsere Router kein OpenSSL einsetzen, sind wir generell von dieser Sicherheitslücke nicht betroffen.“ |
| Lancom | für Login und Remote Login | nein | keine Angaben | nicht vorgesehen | Lancom setzt nach eigenen Angaben OpenSSL zwar ein, nicht aber vom HeartBleed-Bug betroffene Funktionen. |
| Netgear | für Remote-Login | Router: nein NAS-Geräte: ja | keine Angaben | keine Angaben | Netgear empfiehlt dringend die Firmware-Version 6.1.7 (über Netgears-Support-Site erhältlich) für diese ReadyNAS-Serien: RN102, RN103, RN312314, RN516, RN716, RN3220 und RN4220. Ältere ReadyNAS-Produkte nutzen ältere OpenSSL-Versionen, die nicht betroffen sind. |
| Sitecom | nein | ? | ? | ? | ? |
| TP-Link | für Remote-Login | nein | 0.9.8a, 0.9.7, 0.9.7f, 0.9 (nicht von HeartBleed betroffen) | nicht vorgesehen | ? |
| ZyXEL | für Remote-Login | nein | 0.9.7f, 0.9.8i, 1.0.0a | keine Angaben | ? |
(dz)
Text lesen Der Bericht zum lesen