Eine Gruppe Unbekannter hat mehr als 12.000 IP-Adressen von angreifbaren Asus-Routern veröffentlicht. In den Geräten klaffen Sicherheitslücken, die es Angreifern aus dem Internet erlauben, die Router komplett unter ihre Kontrolle zu bringen. Angreifer erhalten so auch Zugriff auf persönliche Dateien auf am Router angeschlossenen USB-Geräten. In Anlehnung an den Watergate-Skandal nennen die Unbekannten ihre Veröffentlichung "#ASUSGATE". Heise Security hat bei Stichproben festgestellt, dass die veröffentlichten Daten tatsächlich echt sind. Unter den IP-Adressen fanden sich offene FTP-Server mit Asus-Kennung und teilweise sensiblen Daten wie etwa Komplett-Backups von Windows-PCs.

Die Verwundbarkeit der Router geht auf zwei Lücken zurück, die ein Sicherheits-Forscher vor über sechs Monaten an Asus gemeldet hatte. Die Firma stellte einen Monat später Firmware-Updates bereit, die dieses Problem beseitigen. Allerdings sind diese Updates offenbar auf tausenden von betroffenen Geräten nicht installiert, wie die große Zahl an verwundbaren Routern im Netz verdeutlicht.

Bei Routern ohne Patch erlaubt der FTP-Server in der Grundeinstellung das Einloggen ohne Passwort und die AiCloud-Software der Geräte speichert ihre Zugangsdaten in einem öffentlich zugänglichen Verzeichnis. Des weiteren erlauben die Lücken Änderungen an den Systemdateien, so dass ein Angreifer einen VPN-Tunnel in das interne Netz einrichten kann. Sämtlicher Traffic der über den Router läuft kann so ebenfalls mitgeschnitten werden.

Am Modell RT-N66U, welches auch in Deutschland erhältlich ist, konnte heise Security den Zugriff auf die Klartext-Zugangsdaten des Routers im Juni bestätigen. Ein Firmware-Update auf Version 3.0.0.4.372 oder höher behebt die Schwachstellen und sollte unbedingt vollzogen werden. Firmware Updates können von der Asus Support-Seite heruntergeladen werden.

Angesichts der immer häufiger auftretenden Sicherheitsprobleme mit Router-Firmware stellt sich die Frage, ob Hersteller nicht über neue Update-Mechanismen nachdenken sollten. Aktuelle Ansätze scheinen nicht mehr auszureichen, um die Sicherheit von Nutzern zu gewährleisten.

Korrektur: In der Versionsnummer der geflickten Firmware fehlte eine Null. (fab)