Als erstes der betroffenen Unternehmen hat Cisco die auf einigen Routermodellen gefundene Hintertür auf dem Port 32764 ausführlich bestätigt. Eine direkte Abhilfe gibt es nicht, aber Cisco will die Lücke durch neue Firmware schließen.
Die zum Jahreswechsel bekannt gewordene Sicherheitslücke in vielen Routermodellen ist nun durch Cisco in einem ausführlichen Security-Bulletin bestätigt worden. Darin bezeichnet der Hersteller die Modelle RVS4000, WRVS4400N, WRVS4400N und WAP4410N als betroffen. Diese vier Cisco-Router warten wie auch Modelle von Linksys, Netgear und anderen Herstellern auf dem offenen Port 32764 auf Befehle, die bei einigen Modellen auch per Internet gegeben werden können.
Cisco bestätigt außerdem ausdrücklich, dass Angreifer durch diese Backdoor volle Kontrolle (“root-level access”) über die Geräte erlangen können. Nicht alle Router, bei denen dieser Port offen ist, sind auch per Internet darüber erreichbar. Prüfen lässt sich das unter anderem über einen Scan auf diesen Port mit der Suchmaschine Shodan. Einen Workaround bietet Cisco ausdrücklich nicht an, weil es dagegen keinen gibt.
Nach einer Liste des Entdeckers der Lücke, Eloi Vanderbeken, weisen auch Geräte von Linksys und Netgear den offenen Port auf. Auch andere Modelle, die mit einem DSL-Modem von Sercomm arbeiten, stehen weiterhin im Verdacht.
Noch in diesem Monat will Cisco neue Firmware für die eigenen Router bereittellen, die die Lücke schließt. Die Updates sollten auf der Security-Seite des Unternehmens zu finden sein.
