So gut wie alle namhaften Hersteller betroffen

Betroffen sind Kabel- und DSL-Router, Modems, Internet Gateways, VoIP-Telefone und mit dem Internet verbundene Kameras. Von den 580 von den Forschern gefundenen Schlüsseln werden mindestens 230 momentan aktiv genutzt. SEC Consult schätzt, dass 9 Prozent aller SSL-Endpunkte im Netz betroffene Zertifikate einsetzen – insgesamt 3,2 Millionen Systeme. Außerdem sollen 6 Prozent aller öffentlich auffindbaren SSH-Hosts betroffen sein.

SEC Consult fand über 900 betroffene Produkte von 50 Herstellern, die auf diese Art geschlampt haben. Die Liste liest sich wie ein Who's Who der namhaften Hersteller von Routern: Alcatel-Lucent, Cisco, D-Link, DrayTek, Huawei, Linksys, Netgear, TP-Link, Trendnet, Tenda und Zyxel. Die Deutsche Telekom, General Electric, Motorola und Vodafone sind auch betroffen. Aber auch die Festplatten-Hersteller Seagate und Western Digital sind auf der Liste – deren NAS-Geräte bohren sich gerne per UPNP Weiterleitungen durch die Router-Firewall und exponieren so die Sicherheitslücke im öffentlichen Netz.

Daniel von Broadcom und sein Zertifikat

Einige der privaten Schlüssel finden sich auf Geräten verschiedener Hersteller wieder. Wahrscheinlich stammen diese von OEMs, die ihre Hardware an andere Firmen weiterverkaufen. In einem Fall fanden die Forscher ein Zertifikat aus einem Broadcom-SDK, das auf einen gewissen Daniel ausgestellt ist und sich auf fast einer halben Million Geräte im öffentlichen Netz wiederfinden lässt.

Auch mehrere Internet-Dienstanbieter wie CenturyLink in den USA, China Telecom, Telstra und Telefónica beziehungsweise Moviestar in Spanien scheinen in ihrer Router-Firmware Mist gebaut zu haben. Viele von ihnen setzen durch die unachtsame Verwendung von privaten Schlüsseln hunderttausende ihrer Kunden einem Sicherheitsrisiko aus.

Fixes lassen auf sich warten

Die SEC-Forscher haben bereits im August das CERT/CC der Carnegie Mellon über das Problem informiert. Das CERT hat viele der betroffenen Hersteller informiert und einige haben damit begonnen, die Lücken zu stopfen. Mehr Informationen zum Umgang der einzelnen Hersteller mit dem Problem und eventuell zur Verfügung stehenden Updates finden sich im Advisory des CERT/CC.

Nutzer von Geräten der betroffenen Hersteller sollten Updates, soweit möglich, zügig einspielen. Bei manchen Geräten können Zertifikate und Schlüssel vom Nutzer in Eigenregie geändert werden, was allerdings nicht trivial ist und im schlimmsten Fall dazu führen kann, dass die Geräte nicht mehr korrekt funktionieren. Nutzer, die diesen Lösungsansatz erwägen, sollten sich mit dem Hersteller ihres Gerätes in Verbindung setzen – oft ist dies aber einfacher gesagt als getan. (Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!)