Thema: Angreifbare NAS´s, Router, Modems & Accesspoints ...

[SiLæncer]

Nachdem AVM die Sicherheitslücke bei fast allen Fritzbox-Routern abgedichtet hat, zieht die Deutsche Telekom mit Firmware-Updates für vier Speedport-Modelle nach.

In einigen Ausführungen der Speedport-Router der Deutschen Telekom steckt AVM-Technik: Die Hardware ist bis auf das Platinenlayout und die Gehäusegestaltung so gut wie identisch, die Software wurde stärker angepasst. Manche Geräte lassen sich sogar auf Original-AVM-Firmware umflashen. Nun hat sich bei vier Speedport-Modellen eine sehr ähnliche Lücke wie bei AVM manifestiert.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Auf den Routern haben zwar längst noch nicht alle Nutzer die Sicherheitslücke gestopft, aber zumindest stehen Firmware-Updates bereit. Nun bessert AVM auch die Software anderer Produkte mit WLAN-Schnittstelle aus.

Die auch indirekt über den Browser ausnutzbare Fritzbox-Lücke betrifft nicht nur die Router: Am Ende einer am Mittwochabend verbreiteten Pressemitteilung gesteht AVM ein, dass der in der gestrigen Stern-TV-Sendung (Video, ab 50. Minute) live demonstrierte Router-Exploit auch bei den Weboberflächen anderer Produkte funktioniert.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Serie der Router-Lücken reißt nicht ab: Diesmal hat es den WRT120N von Linksys erwischt. Angreifer können sich einloggen, ohne ein Passwort einzugeben. Bei aktivierter Fernadministration ist dies besonders heikel.

Die Routerhacker von /dev/ttyS0 machen wieder von sich reden. Diesmal haben die Sicherheitsforscher die Firmware des WRT120N-Routers von Linksys auseinandergenommen und darin eine Stack-Overflow-Lücke gefunden. Die Schwachstelle im Webinterface des Routers erlaubt es Angreifern, das Passwort zurückzusetzen und sich einzuloggen. So können sie die Konfiguration des Gerätes nach Belieben ändern.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die US-Sicherheitsforscher von Team Cymru haben einen groß angelegten Cyber-Angriff auf Router entdeckt, der hunderttausende Geräte betreffen soll. Bei den Geräten wurden die eingestellten DNS-Server ohne Zutun der Router-Besitzer auf die IP-Adressen 5.45.75.11 und 5.45.75.36 geändert. Die sollen unter der Kontrolle der Angreifer stehen, wodurch diese den Datenverkehr ihrer Opfer umleiten und manipulieren können.

Liefert ein DNS-Server etwa zu der Abfrage "google.com" eine IP-Adresse zurück, die gar nicht zu Google gehört, landet das Opfer auf einem völlig anderen Server. Genauso ist vor fast zwei Jahren auch der Schädling DNS-Changer vorgegangen. Im aktuellen Fall konnten die Forscher allerdings noch keine falschen DNS-Antworten feststellen – möglicherweise sind die Angreifer sehr gezielt vorgegangen oder befinden sich noch in der Vorbereitungsphase.

Team Cymru gibt in seinem Bericht an, über 300.000 betroffene Geräte identifiziert zu haben, vor allem in Europa und Asien. Diese Zahl wird allerdings kurz darauf relativiert, demnach habe man bei den beiden DNS-Servern Anfragen von über 300.000 "unique IP addresses" in einem Zeitraum von zwei Wochen beobachtet. Die Zahl dürfte also zahlreiche Dubletten enthalten, nämlich Nutzer mit dynamischen IP-Adressen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Tausende Internetanschlüsse sind aufgrund einer Sicherheitslücke in DSL-Modems von D-Link akut gefährdet – allein in Deutschland. Die Schwachstelle wird bereits systematisch für Angriffe missbraucht. Wer betroffene Geräte betreibt, muss umgehend handeln.

In der Nacht von Montag auf Dienstag wurden laut Informationen, die heise Security vorliegen, reihenweise DSL-Modems von D-Link des Typs DSL-321B manipuliert. Bei einer in Deutschland und Österreich vertretenen Restaurantkette sind sämtliche in den Filialen installierten Geräte betroffen – insgesamt 19 Stück. Vermutlich gibt es viele weitere Opfer.

Bei den Geräten wurden die eingestellten DNS-Server verändert. Diese kleine Manipulation genügt, um fast den gesamten Internet-Traffic des Opfers auszuspähen und zu manipulieren. Im aktuellen Fall wurde unter anderem die IP-Adresse 37.1.206.9 als DNS-Server eingetragen. Das fiel schnell auf, weil unter dieser IP-Adresse kein aktiver DNS-Server geantwortet hat und somit faktisch kein Zugriff auf das Internet mehr möglich war.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Schonfrist ist abgelaufen: Im Netz kursieren Details, wie man die kritische Schwachstelle in den Fritzboxen ausnutzt. Das bedeutet akute Gefahr, da nach Erkenntnissen von heise Security noch immer sehr viele AVM-Router verwundbar sind.

Wer eine Fritzbox betreibt und trotz eindringlicher Warnung noch immer nicht eines der Anfang Februar veröffentlichten Firmware-Updates eingespielt hat, für den wird es jetzt ernst: Eine konkrete Beschreibung, wie man die Lücke ausnutzen kann, kursiert jetzt öffentlich zugänglich im Netz. Das Risiko, auf eine Angriffsseite zu stoßen, die den Router manipuliert, steigt damit erheblich.

Mit dem Angriff kann eine ungepatchte Fritzbox dazu gebracht werden, Shell-Befehle mit Root-Rechten auszuführen. Das kann für den Betreiber des Routers und alle Nutzer fatale Folgen haben: Bisher wurde die Lücke vor allem dazu missbraucht, die Telefonkosten des Anschlussinhabers in die Höhe zu treiben. Mit der Beschreibung kann jetzt im Prinzip jeder Betreiber einer Webseite – oder auch ein Eindringling – dort Code einbauen, der die Fritzboxen aller Besucher attackiert. Ab dann werden alle Besucher der Webseite, die eine noch verwundbare Fritzbox benutzen, angegriffen.

Der ganze Artikel

Quelle : www.heise.de

[Micke]

Tausende Internetanschlüsse sind aufgrund einer Sicherheitslücke in DSL-Modems von D-Link akut gefährdet – allein in Deutschland. Die Schwachstelle wird bereits systematisch für Angriffe missbraucht. Wer betroffene Geräte betreibt, muss umgehend handeln.

In der Nacht von Montag auf Dienstag wurden laut Informationen, die heise Security vorliegen, reihenweise DSL-Modems von D-Link des Typs DSL-321B manipuliert.

Firmware-Updates Sicherheitspatch für Ihren D-Link Router und Modems.

Produktbezeichnung: DSL-321B Revision Z1
Letztes Update: 07.03.2014

Hier zu finden: http://more.dlink.de/sicherheit/router.php

[SiLæncer]

In Standard-Routern von O2 (und ehemals Alice) klafft ein Sicherheitsleck. Deshalb beginnt das Unternehmen heute damit, hunderttausende Kunden zu warnen.

In den von o2 (und ehemals Alice) eingesetzten Standard-Routern 6431, 4421 und 1421 klafft ein Sicherheitsleck: Der voreingestellte WPA2-Key wurde nach einem unsicheren Verfahren generiert und lässt sich daher mit überschaubarem Zeitaufwand knacken.

Der Reverse-Engineering-Spezialist Hanno Heinrichs hat während der Analyse der Router-Firmware festgestellt, dass der Algorithmus, der den Standard-Key bestimmt, nicht sicher genug ist. Anhand öffentlicher Informationen, die jeder in Funkreichweite mitbekommt, lässt sich die Anzahl der möglichen Keys erheblich reduzieren. Wer es darauf anlegt, kann den WPA2-Key daher innerhalb von Minuten knacken. Der Angreifer befindet sich anschließend im Heimnetz und kann zum Beispiel den Datenverkehr aller Teilnehmer abgreifen und manipulieren.

heise Security liegen sämtliche Details zur bislang nicht öffentlich dokumentierten Schwachstelle vor. Wir konnten das Problem reproduzieren und haben den O2-Mutterkonzern Telefónica eingeschaltet. Daraufhin hat das Unternehmen am Dienstagmittag damit begonnen, sämtliche potenziell Betroffenen zu informieren – ungefähr eine halbe Million Kunden ("mittlerer sechsstelliger Bereich"). Sie werden etappenweise entweder per Mail oder Brief benachrichtigt.

Die Attacke funktioniert nur, wenn der WPA2-Key vom Kunden nicht geändert wurde. Dabei ist die Versuchung, den voreingestellten WPA2-Key dauerhaft zu benutzen, durchaus groß, schließlich ist er auf der Unterseite des Routers aufgedruckt. Wer eines der betroffenen Router-Modelle betreibt, sollte umgehend den vorgegebenen WPA2-Key (auch als WLAN-Passwort bekannt) ändern, sofern nicht bereits geschehen.

O2 hat eine Informationsseite eingerichtet, auf der sich unter anderem auch eine eigens eingerichtet Hotline-Nummer befindet, über die Kunden bei Bedarf beim Wechsel des WPA2-Keys unterstützt werden. Darüber hinaus arbeitet das Unternehmen an einer neuen Firmware, welche die Kunden im Web-Interface zum Schlüsselwechsel auffordern soll. Laut O2 soll das Router-Modell 6431 außerdem künftig mit einem WPA2-Schlüssel ausgeliefert werden, der nach dem Zufallsprinzip generiert wird und somit nicht zu berechnen ist. Die Modelle 1421 und 4421 werden nicht weiter hergestellt.

Produziert wurden die verwundbaren Geräte von dem OEM-Hersteller Arcadyan, der bereits mehrfach durch Router-Modelle aufgefallen ist, bei denen die voreingestellten WPA(2)-Schlüssel unsicher sind. Diese wurden bisher etwa von der Telekom und Vodafone eingesetzt.

Quelle : www.heise.de

[SiLæncer]

Die Fritzbox-Angreifer haben anscheinend lange Zeit unbemerkt Zugangsdaten gesammelt, ohne sie zu benutzen. Für die Nutzer hat das jetzt ein übles Nachspiel, denn die meisten Passwörter funktionieren weiterhin. Der Schaden geht in die Hunderttausende.

Als zu Jahresbeginn die Fritzbox-Angriffe durch horrende Telefonrechnungen auffielen, woraufhin AVM etliche Firmware-Updates herausgab, hatten die Täter die erste Phase – das Einsammeln von Zugangsdaten – möglicherweise längst abgeschlossen. Der Internettelefonie-Anbieter Sipgate berichtete heise Security von einer ungewöhnlichen Häufung von Betrugsfällen, in denen die VoIP-Accounts von Fritzbox-Nutzern für kostspielige Auslandstelefonate missbraucht wurden.

Die Kunden hatten zwar das Sicherheitsupdate installiert, nicht aber das VoIP-Passwort geändert. Das ist ein Indiz dafür, dass die Daten bereits vor einiger Zeit erbeutet wurden, als die Boxen noch anfällig waren – möglicherweise sogar vor der Veröffentlichung der Fritzbox-Updates. Wann genau, lässt sich nicht feststellen, da das Abgreifen der Router-Konfiguration keine Spuren hinterlässt. Sipgate befürchtet, dass die Kriminellen auf "einem Berg von Daten" sitzen, die sie nach und nach zu Geld machen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Firma hat ein Firmware-Update veröffentlicht, das die Hintertür auf Port 32764 des DSL-Modemrouters schließen soll. Über die Lücke können Angreifer die Passwörter der Geräte abgreifen.

Netgear hat die Hintertür auf Port 32764 in seinem Modemrouter DGN1000 mit einem Update geschlossen. Die mysteriöse Hintertür war im Januar auf Routern von mehreren Herstellern, darunter Cisco, Linksys und Netgear, entdeckt worden. Als einer der Hersteller bestätigte die Firma die Hintertür im Januar und versprach Abhilfe. Welche anderen Geräte der Firma betroffen sind ist nach wie vor unklar.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Aktuelle Scan-Ergebnisse belegen, dass die Verbreitung des kritischen Sicherheits-Updates kaum voranschreitet. In vielen Fällen werden verwundbare Fritzboxen sogar noch mit aktivem Fernzugriff betrieben – eine gefährliche Mischung.

Die Verbreitung des wichtigen Fritzbox-Updates ist laut einer aktuellen Analyse von heise Security ins Stocken geraten: Bei einem stichprobenartigen Scan im IP-Adressbereich der Deutschen Telekom waren am Donnerstag immer noch 34 Prozent der AVM-Router, die uns konkrete Versionsinformationen verrieten, verwundbar. Vor 4 Wochen waren das bei einem vergleichbaren Test 35 Prozent. Also ist der Anteil der angreifbaren Geräte in knapp einem Monat gerade einmal um ein Prozent zurück gegangen. Hochgerechnet auf die Gesamtverbreitung sind nach wie vor Millionen AVM-Router über manipulierte Webseiten und HTML-Mails angreifbar.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Das kürzlich veröffentlichte Update für den Netgear-Router DGN1000 soll die mysteriöse Backdoor nicht wie bisher angenommen entfernen, sondern sie lediglich verstecken. Das spräche für eine gewollte Funktion statt für ein Versehen.

Netgear soll den nach wie vor mysteriösen Backdoor-Dienst bei seinem Router DGN1000 nicht entfernt, sondern lediglich besser versteckt haben. Eine Analyse (PDF) des Firmware-Updates durch den Reverse-Engineer Eloi Vanderbeken will belegen, dass der Dienst nach wie vor existiert, allerdings nicht mehr unmittelbar auf Port 32764 lauscht.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Nachdem bekannt wurde, dass Netgear eine seit Jahresbeginn bekannte Backdoor nicht entfernt, sonder nur versteckt haben soll, will der Netzwerkausrüster die Vorwürfe nun umfassend prüfen.

Nachdem die Analyse eines Reverse Engineer ergab, dass Netgear eine seit Jahresbeginn bekannte Router-Backdoor nicht entfernt, sondern lediglich versteckt haben soll, kündigte der Netzwerkausrüster an, den Fall untersuchen zu wollen. "Wir gehen im Moment mit unserem Technologiepartner SerComm zusammen den Behauptungen nach", erklärte Netgear gegenüber heise Security. SerComm ist der OEM-Hersteller der betroffenen Geräte, er hat auch für andere Netzwerkausrüster Router produziert, auf denen der Backdoor-Diesnt ebenfalls aktiv war oder ist.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine signierte Mail soll jene Kunden wachrütteln, die ihre Fritzbox noch immer in einer besonders fatalen Konfiguration betreiben: mit veralteter Firmware und aktivem Fernzugriff.

Die Telekom hat über 12.000 Kunden angeschrieben, die eine akut verwundbare Fritzbox betreiben. Auf den Geräten ist nicht nur eine verwundbare Firmware aktiv, sondern auch der Fernzugriff – so sind die Router leicht aus der Ferne aufzuspüren und dann auch angreifbar. Cyber-Kriminelle nutzen dies seit Jahresbeginn aus, um die Telefonrechnungen der Router-Besitzer in die Höhe zu treiben.

Die Informationen über die betroffenen Fritzboxen wurden heise Security von einem Leser übermittelt. Sie stammen aus dem Scan eines Teilbereichs des Telekom-Netzes. Wir haben die Daten daraufhin überprüft und an die Telekom weitergegeben. Die betroffenen Telekom-Kunden erhalten eine signierte Mail vom Provider, in der sie auf das akute Sicherheitsproblem hingewiesen werden. Außerdem enthält die Mail einen Link zu den Sicherheitsupdates.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine Reihe von Schwachstellen in zwei Mobilnetz-Routern von Huawei ermöglichen es, die Geräte aus dem Internet zu kapern. Eine der Schwachstellen hatte Huawei schon einmal geschlossen – offensichtlich nicht gründlich genug.

Bei Huawei sammeln sich die Sicherheitslücken: Nach Problemen mit UMTS-Sticks, die es Angreifern erlauben, SMS auf Kosten der Besitzer zu verschicken, haben Forscher der Fachhochschule St. Pölten nun fünf Sicherheitslücken im Router-Modell b593 entdeckt. Betroffen sind die Versionen b593u-12 und b593s-22, beides WLAN-Router für Mobilnetze. Angreifer können diese Geräte aus dem Internet unter ihre Kontrolle bringen und je nach Firmware-Version den Nutzern das Internet abdrehen, beliebigen Code ausführen oder diese auf Phishing-Seiten umleiten.

Eine der Sicherheitslücken basiert auf einem Fehler in der Firmware, den Huawei bereits Anfang des Jahres in Zusammenarbeit mit einem österreichischen Service Provider geschlossen hatte. Dabei hat der Hersteller anscheinend nicht gründlich gearbeitet, so dass ein Ausnutzen der Lücke nach wie vor möglich ist. Unter anderem ist das Web-Interface der Router anfällig für Cross-Site Request Forgery (CSRF) und Replay-Attacken, bei denen ein Angreifer die Anmeldedaten der Nutzer aus dem lokalen Netz fischen kann. Die auf dem Router bereitgestellten Diagnose-Werkzeuge wie Ping und Traceroute können dazu missbraucht werden, beliebige Befehle auf dem Gerät auszuführen.

Von den Schwachstellen betroffen sind laut der Forscher die Firmware-Versionen V100R001C55SP102 und V200R001B180D10SP00C801. Sowohl deutsche als auch österreichische Provider haben begonnen, ihren Kunden Updates anzubieten. Die Forscher der FH St. Pölten empfehlen betroffenen Kunden, das Update so schnell wie möglich einzuspielen und im Zweifelsfall ihren Provider zu kontaktieren, um diesen nach dem Update zu fragen.

Quelle : www.heise.de