Internet: Versteckter Dienst als Backdoor auf vielen Routern, Test per Telnet

[PCGH-Redaktion]

Jetzt ist Ihre Meinung gefragt zu Internet: Versteckter Dienst als Backdoor auf vielen Routern, Test per Telnet

Der Netzwerk-Experte Eloi Vanderbeken hatte entdeckt, dass sein Router ohne Konfiguration seinerseits auf Port 32764 erreichbar war und dort Befehle entgegennahm. Auf diese Weise ließ sich der Router dazu bringen, seine Einstellungen samt unverschlüsselter Passwörter zu senden. Inzwischen ist klar, dass diese Backdoor auf vielen Routern von Linksys und Netgear existiert. Andere Hersteller könnten auch betroffen sein. Ob der eigene Router befallen ist, zeigt ein Test.

[size=-2]Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und NICHT im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt. Sollten Sie Fehler in einer News finden, schicken Sie diese bitte an online@pcgameshardware.de mit einem aussagekräftigen Betreff.[/size]

Zurück zum Artikel: Internet: Versteckter Dienst als Backdoor auf vielen Routern, Test per Telnet

 

[OberstFleischer]

Mein Netgear-Router ist nicht am Port 32764 erreichbar.

 

[grenn-CB]

Habe es gerade über CMD probiert (vorher die Anleitung befolgt von Microsoft), bei mir konnte zum Glück keine Verbindung aufgebaut werden.

 

[Dr Bakterius]

Kein Anschluss unter dieser Nummer

 

[Starshiptrooper]

Meine Fritz!Box 6360 ist ebenfalls dicht.
Aber wen wunderts, AVM ist ja ein deutsches Unternehmen.
Linksys und Netgear hingegen ...

 

[|L1n3]

Draytek Vigor 2700V ist auch nicht betroffen. Hätte mich aber auch gewundert ...
Was mich allerdings wundert, dass Linksys Router betroffen sein sollen, schliesslich gehörten die bis vor kurzem zum Cisco Unternehmen ... Bei Netgear ist man hingegen garnichts anderes gewohnt

 

[keinnick]

Was mich allerdings wundert, dass Linksys Router betroffen sein sollen, schliesslich gehörten die bis vor kurzem zum Cisco Unternehmen ...

Selbst einzelne Cisco-Modelle sind betroffen, "Cisco" muss also nichts heißen: https://github.com/elvanderb/TCP-32764

 

[trytolose]

Telnet konnte keine verbindung auf 32764 herstellen zu meinem Netgear.

Auf der neuen Fritz!Box meines Nachbarn hingegen schon.

 

[Whitey]

TP-Link TD-W8961NB Version 1 ebenfalls save.

Danke für die News

 

[Xtreme RS]

Meine Fritz!Box ist ebenfalls dicht.
Aber wen wunderts, AVM ist ja ein deutsches Unternehmen.
Linksys und Netgear hingegen ...

Deutsche Geheimdienste sind halt nicht so unfähig... die nutzen Port 32765!

 

[Brainorg]

Fritz!Box 6340 ebenfalls save

 

[Berserkervmax]

AVM FritzBox 3390 Aktuelle Firmware - Sicher !

Alle Testes die hier verlinkt sind bestanden und nicht erreichbar !

 

[Olstyle]

Das spannende an der Sache ist ja, dass da ein Telnet-Client auf "irgend einem" Port und eben nicht auf dem Standardport (23) läuft. Umgekehrt bedeutet damit ein Test ob 32764 zu ist überhaupt nichts, weil eine solche Hintertür bei anderen Routern auf anderen Ports bestehen kann.

 

[ReaperBLN]

Arcor/ Vodafone Easybox 602 ist auf Port 32764 auch sicher, wer hätte das gedacht.

Have a nice day!

 

[Gast20140625]

Deutsche Geheimdienste sind halt nicht so unfähig... die nutzen Port 32765!

Also meine Fritzbox hat im 30000er Bereich keine offenen Ports.

BTW:
Wenn so eine Hintertüre auf einem andern Port wäre, reicht ein nmap Portscan und ein bisschen Ahnung welche Ports wofür da sind um sie zu finden?
Weil das wäre ja schon ein bisschen zu einfach? Da wäre es ja eher ein Wunder, dass es bis jetzt gedauert hat diese Lücke zu finden.



EDIT:
Kann mir einer von den Netzwerkexperten schnell sagen, wozu diese da sind:

8181/tcp  open  unknown
51111/tcp open  unknown
51112/tcp open  unknown
51113/tcp open  unknown
51114/tcp open  unknown
51115/tcp open  unknown
51116/tcp open  unknown
51117/tcp open  unknown

Und ob ein Scan von innen überhaupt aussagekräftig ist?

 

[keinnick]

Wenn so eine Hintertüre auf einem andern Port wäre, reicht ein nmap Portscan und ein bisschen Ahnung welche Ports wofür da sind um sie zu finden?
Weil das wäre ja schon ein bisschen zu einfach? Da wäre es ja eher ein Wunder, dass es bis jetzt gedauert hat diese Lücke zu finden.

Naja, der Portscan findet eben nur offene Ports. Was dahintersteckt verrät er Dir nicht. Eine "bösartige" Software kann ja genau so gut auf einem "harmlosen" (aber sonst ungenutzten) Port lauschen.

 

[OberstFleischer]

Portfinder

Portchecker

 

[DOcean]

Und ob ein Scan von innen überhaupt aussagekräftig ist?

Nur ein Scan von außen z.B über die Heise Webseite zeigt ein echtes Problem. Nur wenn da der Port offen ist, hat man eine dicke Sicherheitslücke.

Wenn der Port von intern offen ist das unschön aber grundsätzlich erst mal nicht weiter tragisch.

Von außen sollte nur Ports offen sein die man da auch von Hand eingetragen hat (unter Portfreigaben im Router), intern darf natürlich mehr offen sein.

 

[MrG]

Wenn selbst IT-Fachleute das bis jetzt noch nicht wussten, stellt sich doch die Frage, ob Nutzer dieser Router überhaupt noch belangt werden können, wenn über ihre Leitung kriminelle Sachen passieren.

 

[Gast20140625]

Ok, danke.