Angriffe auf DSL-Router-Konfiguration über präparierte Webseiten

Von Ralf Trautmann

Über manipulierte Webseiten lassen sich die Konfigurationsdaten des DSL-Routers verändern. Darauf weist das Branchenmagazin TecChannel im Rahmen eines Sicherheitstests hin. In der Folge sei zum Beispiel die Umleitung von Telefonaten auf 0900-Nummern möglich, aber auch "sensible Anwendungen wie Kreditkartenzahlungen" seien "gefährdet".

Technisch werden laut TecChannel derartige Angriffe mittels Cross Site Request Forgery (CSRF) realisiert: Hierbei könne es schon ausreichend sein, dass der Nutzer eine präparierte Webseite besucht. Richtet der Nutzer ein Passwort für den Router ein, minimiert sich zwar die Gefahr. Sie bleibt aber laut TecChannel weiterhin bestehen, wenn gleichzeitig in einem anderen Browser-Fenster die Konfigurationsseite des Routers geöffnet ist oder je nach Router-Modell vor kurzem offen war, da einige Geräte die Session noch mehrere Minuten offen halten.

Über die manipulierte Seite können dann in den genannten Fällen unter Umständen die Konfigurationseinstellungen geändert werden, die dem Anwender regulär über die Web-basierte Steueroberfläche des Router für Veränderungen offen stehen. Die Tests wurden laut TecChannel "erfolgreich" mit Routern von AVM (FRITZ!Box), Cisco und Zyxel durchgeführt.

Abhilfe könnten demzufolge verschiedene Maßnahmen schaffen: Zunächst die schon genannte Einrichtung eines Kennwortes, zudem die Vermeidung des Aufrufen von Webseiten während eines Konfigurationsvorgangs sowie in den Minuten nach diesem. Bleibt die Frage der Einschätzung der Gefahr: Hier weist AVM gegenüber teltarif darauf hin, dass unter der Voraussetzung eines vorhandenen Kennwortschutzes das genannte Bedrohungsszeanrio ein "sehr, sehr unwahrscheinlicher Fall" ist.