Autor Thema: Angreifbare NAS´s, Router, Modems & Accesspoints ...  (Gelesen 22422 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Ein Fehler in populären DSL-Routern der Firma D-Link ermöglicht es, die Authentifizierung zu umgehen. Damit erhält ein Angreifer ohne Passwort vollen Zugriff auf das Gerät -- unter Umständen sogar aus dem Internet. Betroffen sind die Modelle DSL-502T, DSL-504T, DSL-562T sowie DSL-G604T mit diversen Firmware-Versionen, weitere Modelle können jedoch ebenfalls anfällig sein.

Die Router bieten im Geräte-Setup unter dem Menü "Advanced" die Option "Remote Access", um eine Fernwartung der Geräte per Web über das Internet zuzulassen. Hierfür muss üblicherweise ein Login über Username und Passwort stattfinden. Ist die Option aktiviert (die Werkseinstellung sollte "Disabled" sein), so ist mit dem Aufruf der Router-Seite /cgi-bin/firmwarecfg im Browser ohne den Login-Prozess ein vollständiger Zugriff möglich.

Dies reicht vom Herunterladen der XML-Konfigurationsdatei, die unter anderem die User-Accounts und die zugehörigen Passwörter enthält, bis hin zum Einspielen einer neuen, möglicherweise manipulierten Firmware. Dies ist umso schwerwiegender, da die Firmware einiger D-Link-Modelle als Open Source verfügbar ist und sich problemlos Backdoors einprogrammieren lassen.

Möglich ist diese Lücke dadurch, dass der Router bei Aufruf des oben genannten Skriptes die Datei fw_ip im Verzeichnis /var/tmp sucht. IP-Adressen, die in dieser Datei aufgeführt sind, bekommen Vollzugriff auf den Router. Ist die Datei jedoch noch nicht vorhanden, generiert das Skript diese Datei und schreibt die Adresse des aufrufenden Rechners hinein.

D-Link hat zwar eine neue Firmware zum Beseitigen der Lücke herausgegeben, allerdings zeigte sich in Tests, dass der Fehler immer noch auftritt. Als Workaround empfiehlt sich, entweder die Fernwartung in der Konfiguration nicht zuzulassen oder aber händisch die versteckte Seite http://router-ip/cgi-bin/firmwarecfg aus dem internen Netz aufzurufen. Dabei wird die Konfigurationsdatei für die Zugriffsberechtigung mit Adressen aus dem hoffentlich sicheren lokalen Netz gefüllt.

Quelle und Links : http://www.heise.de/newsticker/meldung/59740

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
TraveDSL-Router aus dem Internet angreifbar
« Antwort #1 am: 30 Januar, 2006, 16:01 »
Von den Lübecker Stadtwerken an ihre TraveDSL-Kunden herausgegebe Router verfügen standardmäßig über einen aus dem Internet erreichbaren Zugang für die Fernwartung, der sich nicht deaktivieren lässt. Bei den betroffenen Geräten handelt es sich um das ältere Modell Siemens Santis ADSL 200 mit eingebautem ADSL-Modem aus dem Jahr 2001, für das der Hersteller offenbar keinen Support mehr bietet. Auf diesem kann ein Angreifer aus dem Internet mit dem voreingestellten Standard-Passwort beispielsweise HTTP-Anfragen auf manipulierte Server umleiten oder Zugriff auf das interne Netzwerk erlangen.

Wie in diversen DSL-Foren zu erfahren ist, ist das Problem mit der aus dem Internet erreichbaren Fernwartung per Telnet und HTTP schon seit 2004 bekannt. Als vorläufiger Workaround wird vorgeschlagen, die Ports 23 und 80 für Zugriffe aus dem Internet an eine nicht existente IP-Adresse weiterzuleiten. Zwar bieten die Lübecker Stadtwerke für TraveDSL-Kunden zur Behebung der Lücke seit November vergangenen Jahres ein Firmware-Update und haben ihre Kunden darauf in einer E-Mail hingewiesen, doch nach Recherchen von heise Security sind noch immer viele TraveDSL-Router über den Telnet-Port erreichbar. TraveDSL-Kunden mit Santis-Router sollten umgehend das Update einspielen.

Derzeit ist unklar, ob aktuell an TraveDSL-Kunden ausgegebene Router-Modelle die Sicherheitslücke ebenfalls aufweisen oder ob notwendige Upgrades bereits eingespielt wurden. Der Pressesprecher der Lübecker Stadtwerke stand für Rückfragen leider nicht zur Verfügung.

Quelle und Links : http://www.heise.de/security/news/meldung/68997

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
TraveDSL-Router aus dem Internet angreifbar [Update]
« Antwort #2 am: 31 Januar, 2006, 12:56 »
Die Stadtwerke Lübeck arbeitet derzeit aktiv an der Behebung des Problems. Nach Auskunft des Pressesprechers will der Provider in der kommenden Woche alle betroffenen Kunden, die sich durch einen Portscan ermitteln lassen, telefonisch und per Briefpost benachrichtigen und diesen gegebenenfalls Hilfestellung bei dem Firmware-Upgrade bieten.

Bis Ende vergangenen Jahres wurde versucht, dem Problem mit der Sperrung der betroffenen Ports beizukommen. Da TraveDSL-Neukunden seit Anfang vergangenen Jahres Router eines anderen Herstellers erhalten, die den Fehler nicht enthalten, entwickelte sich diese Maßnahme für einen immer größeren Teil der Kunden zum Hindernis. Dem seit November auf der Homepage geschalteten Aufruf, das notwendig Update durchzuführen, sind bislang rund 80 Prozent der betroffenen Kunden gefolgt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
D-Link-Router anfällig für DoS
« Antwort #3 am: 14 Februar, 2006, 19:34 »
Mehrere Router der Firma D-Link sind anfällig für einen Denial-of-Service, den Angreifer aus dem Netz ausführen könnten. Mit präparierten Paketen kommen die betroffenen Geräte nicht zurecht und starten neu, möglicherweise lässt sich so aber auch Code einschleusen und zur Ausführung bringen.

Der Entdecker der Schwachstelle, Aaron Portnoy, hat seiner Sicherheitsmeldung zufolge weitere Recherchen aufgegeben und seine Ergebnisse jetzt veröffentlicht, da D-Link aktuelle Firmware-Versionen herausgegeben hätte, die den Fehler nicht mehr aufwiesen. Dies scheint nur für einige Modelle zu gelten, wie ein kurzer Test des Demo-Exploits bei heise Security zeigt.

Die Wireless-Router DI-524, DI-624, DI-784 sowie das US Robotics USR8054 kommen laut Portnoy beim Verarbeiten einer Serie von drei präparierten fragmentierten UDP-Paketen ins Stolpern. Die Geräte kappen daraufhin alle aktiven Verbindungen und starten nach etwa 30 Sekunden bis zu einer Minute neu.

Getestet wurde der Demo-Exploit gegen einen DI-624-Wireless-Router mit der Firmware 2.70 vom Ende Juli vergangenen Jahres, aber auch mit der aktuellen Firmware 2.57 von der deutschen D-Link-Seite mit dem Datum 17. November 2005. Mit beiden Versionen konnte heise Security das Problem nachvollziehen – der Router startete neu. Bisher scheint keine neuere Firmware für den Router verfügbar, sodass die Lücke dort nach wie vor besteht. Betroffene Anwender sollten sich nach einer aktualisierten Firmware für ihren Router auf der Herstellerseite umsehen beziehungsweise beim Support eine fehlerbereinigte Version anfordern.

Siehe dazu auch:

    * D-Link Fragmented UDP Denial of Service Vulnerability von Aaron Portnoy


Quelle und Links : http://www.heise.de/security/news/meldung/69575

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Gefahr für Heim-Router
« Antwort #4 am: 17 Februar, 2007, 14:05 »
Der Sicherheitspezialist Symantec warnt mit einem Blog-Eintrag vor Angriffen auf Router mit Default-Passwörtern. Durch Umbiegen des DNS-Server-Eintrags sei es einem Angreifer unter Umständen möglich, den Internet-Verkehr seiner Opfer über sich umzuleiten. Durch dieses sogenannte Pharming könnte er vertrauliche Daten der Anwender ausspionieren oder unter falscher Fahne Schadsoftware auf Heim-PCs einschleusen. Dabei bezieht sich der AV-Hersteller auf eine wissenschafliche Arbeit mit dem Titel "Drive-by Pharming" von Sid Stamm und Markus Jakobsson von der Universität von Indiana sowie Zulfikar Ramzan von Symantec, die im Dezember des Vorjahres veröffentlicht wurde.

Die Wissenschaftler beschreiben, dass und wie eine bösartige Web-Seite den internen Router des Heimnetzes durch eine Kombination von Java-Applets und JavaScript aufspüren und auch das Modell identifizieren könnte. Viele liessen sich dann schon mit einfachsten Mitteln, sprich Default-Passwörtern und HTTP-Zugriffen auf das Web-Interface, umkonfigurieren. Bei einem D-Link-Router könnte das so aussehen, dass die Web-Seite folgenden Code einbettet

<script src="http://192.168.0.1/h_wan_dhcp.cgi?dns1=69.6.6.6">

der die IP-Adresse 69.6.6.6 als DNS-Server einträgt, der dann via DHCP an alle Clients im lokalen Netz übertragen wird. Diese würden dann den DNS-Server 69.6.6.6 beispielsweise nach der IP-Adresse für www.heise.de fragen und erhielten als Antwort womöglich etwas wie 217.111.81.80.

Die Wissenschaftler empfehlen neben dem offensichtlichen Ändern des Default-Passwortes im Router auch allgemeine Maßnahmen, um sich gegen browserseitige Angriffe aus dem internen Netz und gegen Pharming zu schützen. Zu einen schlagen sie vor, möglichst auf digital signierte Java-Applets umzusatteln und für nicht signierte, "untrusted" Applets strenge Restriktionen beim Zugriff auf das Netzwerk einzuführen. Außerdem könnten ihren Ausführungen zufolge auch die Internetanbieter gegen Pharming-Angriffe vorgehen, indem sie DNS-Verkehr ausschließlich zu den eigenen Name-Servern erlauben.

Siehe dazu auch:

    * Technical Report TR641: Drive-By Pharming, Whitepaper von Stamm, Ramzan und Jakobsson
    * "Pharming" hilft beim Phishing, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/85452

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Präparierte Webseite schaltet Firewall im Router aus
« Antwort #5 am: 11 Januar, 2008, 11:23 »
Eine Schwachstelle im beliebten Linksys-Router WRT54GL verdeutlicht einmal mehr, wie Session Riding beziehungsweise Cross Site Request Forgery (CSRF) funktioniert. Mit einem einzigen präparierten Link in einer Webseite kann es ein Angreifer schaffen, die Firewall von außen zu deaktivieren. Andere Konfigurationsänderungen sind ebenfalls möglich.

Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Dies kommt aber nicht unbedingt selten vor, viele Anwender suchen oft nach Konfigurationsanleitungen zu bestimmten Punkten des Gerätes im Internet und sind dabei gleichzeitig am Router angemeldet. Enthält die Seite dann einen Link wie:

https://192.168.1.1/apply.cgi?submit_button=Firewall&change_action=&action=Apply&block_wan=1&
block_loopback=0&multicast_pass=0&ident_pass=0&block_cookie=0&block_java=0&
block_proxy=0&block_activex=0&filter=off&_block_wan=1&_block_multicast=0&_ident_pass=1

ist es um die Sicherheit geschehen (vorausgesetzt die Standard-IP-Adresse wurde beibehalten).

Die Ursache des Problems ist die implizite Authentifizierung durch den Cookie. Betroffen ist laut Fehlerbericht auf der Sicherheitsmailing-Liste Bugtraq die Firmware-Version 4.30.9. Der Hersteller wurde zwar am 14. August 2007 informiert, eine Lösung des Problems gibt es jedoch noch nicht. Cisco, zu dem Linksys seit 2003 gehört, soll allerdings an einem Update arbeiten. Anwender sollten bis dahin der Empfehlung folgen und während der Routerkonfiguration keine weiteren Seiten aufrufen. Ein anderes Beispiel für Session Riding lieferte zuletzt Google Mail.

Der WRT54GL ist die Nachfolgeversion des WRT54G, die wieder auf Linux beruht. Im WRT54G hatte der Hersteller zwischenzeitlich auf VxWorks als Betriebssystem umgestellt.

Siehe dazu auch:

    * Linksys WRT54 GL - Session riding (CSRF), Fehlerbericht von Tomaz Bratusa -> http://archives.neohapsis.com/archives/bugtraq/2008-01/0063.html

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Ungewollte Fernkonfiguration für Heim-Router
« Antwort #6 am: 18 Januar, 2008, 21:31 »
Dass Universal Plug and Play (UPnP) auf Routern zu Sicherheitsproblemen führen kann, ist seit Längerem bekannt: Ohne Authentifizierung kann jeder Client aus dem LAN heraus beispielsweise Port-Forwarding aktivieren und so die Firewall durchbohren. Unter Umständen kann aber auch ein Angreifer von Außen den Router umkonfigurieren, wie die Sicherheitsspezialisten Petko Petkov und Adrian Pastor auf der Seite GNUCitizen berichten. Dazu bedarf es allerdings einer Cross-Site-Scripting-Schwachstelle im Authentifizierungsdialog des Routers, was aber nach Einschätzung der beiden nicht allzu selten vorkommt. Darüber ist es dem Bericht zufolge möglich, JavaScript im Browser im Kontext des Routers auszuführen und via XMLHttRequests mit der UPnP-API respektive dem SOAP-Interface des Routers zu kommunizieren.

Mit dem JavaScript lassen sich nicht nur Ports freischalten, je nach Router-Modell ist es möglich, weitere Konfigurationen zu ändern. Üblicherweise liefert ein Router mit UPnP-Unterstützung auf Anfrage sogar eine Antwort zurück, welche Dienste sich bei ihm via UPnP steuern lassen. Schlimmstenfalls lässt sich sogar die IP-Adresse des DNS-Server (SetDNSServer) manipulieren, um so Anfragen auf einen manipulierten Nameserver umzuleiten und gefälschte Adressen zurückzuliefern. Ein Opfer könnte so auf Phishing-Seiten landen, ohne es zu merken.

Bei den betroffenen Modellen handelt es sich dem Bericht nach um die im UK verbreiteten Router Speedtouch von Thomson und den BT Home Hub. Für einen erfolgreichen Angriff muss das Opfer aber, wie immer bei Cross-Site-Scripting, auf irgendeinen Link auf einer Webseite eines Angreifers klicken und auf dem Gerät muss UPnP aktiviert sein. Standardmäßig ist das bei zahlreichen Routern der Fall.

Tools wie NoScript schützen üblicherweise vor Angriffen mit schädlichem JavaScript. Petkov zeigt in seinem Bericht aber, wie sich Router auch über ActionScript in Flash-Applets umkonfigurieren lassen. Damit lassen sich JavaScript-Filter einfach umgehen. ActionScript-Filter gibt es bislang nicht, da dazu in Echtzeit das Flash-Applet dekompiliert werden müsste. Anwender sollten auf ihren Routern sicherheitshalber die UPnP-Funktion deaktivieren.

Quelle : http://www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Erste aktive Angriffe auf DSL-Router
« Antwort #7 am: 23 Januar, 2008, 11:47 »
Man-in-the-Middle ist out, Man-in-the Router ist in. Musste man sich in den vergangenen Jahren nur selten Gedanken über die Sicherheit seines Routers machen, so häufen sich in den letzten Wochen Meldungen über Schwachstellen darin. Nun berichtet Symantec in seinem Blog sogar über erfolgreiche Angriffe auf die Router mexikanischer Internet-Anwender, denen mittels eines simplen eingebetteten GET-Requests in einer präparierten Webseite die Namensauflösung verbogen wurde. Die Angreifer nutzten quasi den Browser des Anwenders, um den Router "über Bande" umzukonfigurieren. Auf die präparierte Seite lockte eine E-Mail-Benachrichtigung über eine E-Card.

In der Folge der Änderung löste der Router eine Namensanfrage an eine bekannte mexikanische Bank mit der IP-Adresse einer Phishing-Seite auf. [Update] Dabei machten sich die Phisher offenbar zunutze, dass die Änderung auf den Routern ohne Angabe des Passworts möglich war. Wie viele Anwender Opfer der Phisher wurden, ist nicht bekannt. Nicht immer funktioniert ein Angriff ohne Passwort, aber es gibt genüg Lücken bei denen es ohne funktioniert. [/Update]

Erst vergangene Woche wurden Schwachstellen in Routern bekannt, die hauptsächlich in Großbritannien verbreitet sind. Dabei lässt sich eine Cross-Site-Scripting-Lücke im Login-Dialog ausnutzen, um den Router über seine UPnP-Schnittstelle umzukonfigurieren – und UPnP verzichtet dabei auf jegliche Authentifizierung. Berichten zufolge soll der Angriff auf UPnP-Router auch ohne XSS-Lücke funktionieren. Dabei sollen spezielle Flash-Applets mittels ActionScript ebenfalls in der Lage sein, Router umzukonfigurieren, bei denen UPnP aktiviert ist.

Zuvor war bereits ein Schwachstelle im beliebten Linksys-Router WRT54GL bekannt geworden, die das Problem des seit drei Jahren bekannten Session Riding beziehungsweise Cross Site Request Forgery (CSRF) verdeutlichte. Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Neben dem Abschalten der Firewall ist denkbar, dass der Angreifer die WLAN-Verschlüsselung abschaltet. Ein Posting auf Bugtraq zufolge soll dies bei dem Modell Alice Gate 2 Plus WiFi mit folgender URL ohne Authentifizierung funktionieren.

http://192.168.1.1/cp06_wifi_m_nocifr.cgi?wlChannel=Auto&wlRadioEnable=on
Dabei kann der Link in einer Mail, einer Webseite oder einer Chat-Nachricht steckten.

Anwender sollten sich künftig mehr Gedanken über die Sicherheit ihrer Router machen. Das Argument, dass der Router ja nicht von außen erreichbar und somit kein unbefugter Zugriff möglich sei, lässt sich so nicht mehr aufrechterhalten. Grundsätzlich sollte man das Standardpasswort sofort nach der Inbetriebnahme auf ein nicht leicht zu erratendes Kennwort ändern. Bei Routern mit UPnP-Funktion sollte sich der Anwender fragen, ob er diese Funktion überhaupt benötigt und sie lieber deaktivieren.

Außerdem ist es ratsam, statt des vordefinierten Subnetzes (oftmals 192.168.1.0) auf ein anderes zu wechseln (etwa 192.168.23.0), um üblichen Angriffen aus dem Weg zu gehen. Zur Wahl stehen dabei die Netze 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8 (eine Liste aller reservierten Adress-Blöcke ist hier zu finden: Special-Use IPv4 Addresses (RFC 3330). Zudem hebt man die Latte ein wenig höher, wenn der Router nicht unter .1 zu finden ist, sondern beispielsweise unter .42. Sofern der Router alle notwendigen Daten per DHCP im Netz verteilt, sollte auf den Clients keine Umkonfiguration notwendig sein.

Quelle : http://www.heise.de/security/news/meldung/102281/Erste-aktive-Angriffe-auf-DSL-Router-Update--

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Bot-Netz aus Heimnetz-Routern
« Antwort #8 am: 23 März, 2009, 13:05 »
Rund hunderttausend Router soll Psybot unter seine Kontrolle gebracht und zu einem Bot-Netz zusammengeschlossen haben. Das berichtet der Betreiber der Web-Site DroneBL, der nach eigenen Aussagen Ziel von DDoS-Angriffen dieses Bot-Netzes wurde.

Ein Bot-Netz, das vor allem aus Routern besteht, fällt aus dem Rahmen. Normalerweise werden vor allem PCs mit Windows versklavt, um als Zombies zu dienen. Psybot hat sich hingegen anscheinend auf kleine Netzwerk-Router für Heimanwender spezialisiert, auf denen ein Embedded Linux für MIPS-CPUs läuft.

Laut einer Beschreibung von Terry Baume steht vor allem der Netcomm NB5 auf der Liste der bevorzugten Ziele. In einer älteren Version des DSL-Modems mit Router-Funktion war dort laut Baume unter anderem das Web-Interface und ein SSH-Zugang aus dem Internet erreichbar – und das auch noch ohne Passwort. Das wurde zwar mit einem späteren Firmware-Update behoben, aber ob das dann wirklich überall eingespielt wurde, ist fraglich.

Einmal im System, lud der Bot eine Datei namens udhcpc.env nach /var/tmp und startete sie. Bei dem Programm handelt es sich um ein MIPSel-Binary für Linux; der Name lehnt sich an die auf Embedded Systemen oft eingesetzte DHCP-Software udhcp an. Psybot konnte dann auch nach Systemen mit speziellen verwundbaren Versionen von phpMyAdmin und MySQL suchen, um diese zu kapern.

Mittlerweile hat der Bot-Netz-Betreiber nach eigenen Aussagen seine Aktivitäten eingestellt – jedenfalls behauptet er das in der Status-Meldung des IRC-Channels, über den die Bots kontrolliert wurden. Nach eigenen Aussagen hatte er 80.000 Systeme unter seiner Kontrolle; DroneBL schätzte sogar hunderttausend. Auch wenn diese Angabe mit Vorsicht zu genießen sind, zeigt Psybot doch, dass das Problem von Bot-Netzen keineswegs nur auf Windows beschränkt ist.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Gefahr für Millionen DSL-Router - CSRF-Attacke aus dem Web
« Antwort #9 am: 08 April, 2009, 09:37 »
Cross Site Request Forgery als Angriffsvektor wurde lange unterschätzt. Doch jetzt ist es unserer Schwesterpublikation TecChannel gelungen, über einfache CSRF-Attacken DSL-Router von A wie AVM Fritz!Box bis Z wie ZyXEL über das Internet von außen anzugreifen. Surft man mit dem PC auf eine manipulierte Website, kann die komplette Konfiguration der DSL-Router unbemerkt modifiziert werden.

Bislang gelten Cross Site Scripting und Injection-Angriffe als Haupteinfallsvektor für erfolgreiche Attacken auf Web-Server. Doch in der aktuellen Liste der gefährlichsten Fehler, die regelmäßig von der OWASP (Open Web Application Security Project) herausgegeben wird, hat sich Cross Site Request Forgery (CSRF) inzwischen auf Platz fünf hochgearbeitet.

Wie gefährlich dieser bislang unterschätzte Angriffsweg tatsächlich ist, zeigen aktuelle Sicherheitstests unserer Schwesterpublikation TecChannel. Über CSRF-Attacken ist es den Kollegen gelungen, die Konfiguration der AVM Fritz!Box, des Cisco/Linksys WAG 160 N und eines ZyXEL P-660HW beliebig zu modifizieren. Aber auch die meisten anderen DSL-Router dürften gefährdet sein.

Für den Angriff genügt es, dass der Anwender eine präparierte Website besucht. Diese kann dann alle Konfigurationsarameter, die über die Web-Oberfläche des DSL-Routers zu erreichen sind, beliebig ändern. Ein Besuch einer manipulierten Seite, und alle Telefonate laufen beispielsweise über eine teure 0900er-Vorwahl.

Der Passwortschutz der Router erwies sich dabei als nicht ausreichend und kann umgangen werden. Welches Gefahrenpotenzial sonst noch in dem CSRF-Angriff steckt und was man gegen die Attacken auf die DSL-Router unternehmen kann, lesen Sie im Beitrag Millionen DSL-Router hochgradig gefährdet.

Quelle : www.pcwelt.de
« Letzte Änderung: 09 April, 2009, 01:11 von Jürgen »

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
D-Link - Router mit Captchas schützen
« Antwort #10 am: 13 Mai, 2009, 19:33 »
Da sich in letzter Zeit die Angriffe gegen D-Link Router gehäuft haben, greift das Unternehmen zu neuen Maßnahmen. Das Stichwort lautet "Captcha".

Malware hat in letzter Zeit verstärkt Jagd auf die Systeme der D-Link-Netzwerkgeräte gemacht. Unter Umständen wäre es denkbar, dass die verbreiteten Trojanischen Pferde die Einstellungen der Router verändern. Den Sicherheitsexperten zufolge ist es sogar möglich, den gesamten Netzverkehr in ein anderes Netzwerk umzuleiten.


Als Abhilfe schaffendes Mittel werden nun die sogenannten "Captchas" angepriesen, die auch in verschiedensten anderen Bereichen im Internet zum Einsatz kommen. Mithilfe der Bildrätsel sollen automatische Angriffe außen vor bleiben. Schädlinge wie der "Zlob"-Trojaner würden dann vor verschlossenen Türen stehen, heißt es. Selbiger hat besonders im vorausgegangenen Kalenderjahr Aufsehen erregt. Damals hat er sich Zugriff auf die Router von Unternehmen und Privatpersonen erschlichen.Der zuständige CTO AJ Wang von D-Link ist der Meinung, dass D-Link-Router wegen ihres Designs im Allgemeinen nur sehr schwer angreifbar sind.

Die nun kommenden "Captchas" sollen diesen Aspekt zusätzlich festigen. Automatisierten Angriffen will man offenbar keine Chance mehr geben. In wiefern dies gelingen wird, muss sich erst herausstellen. Schließlich werden immer wieder "Captcha-Systeme" geknackt und den computerisierten Attacken der Weg geebnet. Das notwendige Firmware-Update gibt es auf der Webseite des Herstellers zu erstehen. Unterstützt werden die Modelle: DIR-615, DIR-625, DIR-628, DIR-655, DIR-825, DIR-855, DIR-685 und DGL-4500.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
DSL-Router per URL ferngesteuert
« Antwort #11 am: 28 Mai, 2009, 19:29 »
Wie Michal Sajdak auf der CONFidence Mitte Mai in Krakau vortrug, gelingt es mit relativ einfachen Mitteln, beliebige Shell-Kommandos auf dem WLAN-DSL-Router WAG54G2 von Linksys auszuführen. Weitere Details dazu hat der Autor jetzt veröffentlicht.

Sajdak fand heraus, dass man auf einfache Weise ein POST-Feld um ein Shell-Kommando ergänzen kann, das der Router dann ausführt. Um das zu testen, benötigt man lediglich einen Proxy, der die POST-Variable vorm Absenden modifizieren kann. Nach eigenen Angaben hat Sajdak den Hersteller Cisco bereits im März über den Fehler informiert und von dort eine Bestätigung, jedoch noch keine Mitteilung über dessen Behebung erhalten.

Es ist derzeit nicht auszuschließen, dass auch andere Linksys-Geräte betroffen sind. Hersteller versuchen, nicht für jedes Modell das Rad neu zu erfinden und setzen auf möglichst wiederverwendbare Firmware-Teile. Beim WRT54GL fanden sich bereits vor einiger Zeit Schwachstellen, die ebenfalls sogenannte Cross-Site-Request-Forgery-Angriffe (CSRF) ermöglichten.

Ein kleiner Trost für Betroffene: Zumindest wenn man das Standardpasswort geändert hat, muss das Opfer angemeldet sein, damit das Ganze funktioniert. Die einzige Hürde ist, dass solche Angriffe normalerweise per HTTP-GET und zum Beispiel einem untergeschobenen IMG-SRC-Tag abgesetzt werden. POST wie im vorliegenden Fall erfordert normalerweise einen Klick, der sich aber mit Javascript ebenfalls automatisieren lässt.

Ein ähnlicher Bug trat vor ein paar Jahren beim beliebten WRT54G auf. Er erleichterte es, alternative Firmware zum Laufen zu bringen, obwohl trotz der Verwendung von Linux weder der Quellcode noch ein Hinweis darauf im Lieferumfang enthalten waren – unter Verletzung der GPL. Der recht neue WAG54G2 wird von OpenWRT noch nicht voll unterstützt. Besserung ist aber in Sicht, da sich Cisco und die Free Software Foundation vor Kurzem geeinigt haben.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
DoS-Angriff gegen Siemens Gigaset SE361 Router
« Antwort #12 am: 24 September, 2009, 12:24 »
Über eine Sicherheitslücke im Siemens Gigaset SE361 WLAN Router können Angreifer das Gerät nach Belieben zum Neustart zwingen. Ein Patch liegt nicht vor.

Laut einem Bericht von Security Reason tritt die Sicherheitslücke bei der aktuellen Version des Siemens Gigaset SE361 WLAN Router auf. Die Schwachstelle entsteht durch einen Implementierungsfehler des Dienstes auf Port TCP/1731. Wird dieser Port mit längeren Zeichensequenzen beschossen, führt dies fast unmittelbar zum Absturz und Neustart des Gigaset SE361 WLAN Router. Entsprechende Exploit Codes existieren im Internet bereits, ein Patch seitens Siemens steht jedoch noch aus.

Quelle : www.tecchannel.de


Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Schwachstelle bei Router-Firewalls
« Antwort #13 am: 06 Januar, 2010, 22:44 »
Samy Kamkar, der seinerzeit Aufmerksamkeit durch einen Wurm auf MySpace erregte, will eine Methode gefunden haben, um geschlossene Ports auf Hardware-Firewalls mit Hilfe einer Webseite zu öffnen.

Gegenüber The Register behauptet Samy Kamkar, dass er eine Methode gefunden habe, um bei einigen Hardware-Firewalls und Routern auf sämtliche Ports zuzugreifen - auch wenn diese konfiguriert sind, die Port zu schließen. Das Opfer wird dabei auf eine manipulierte Webseite geleitet, welche über den Port 6667 (typischerweise IRC) permanent versucht, "Direct Client-to-Client" Verbindungen herzustellen (im IRC-Kontext typischerweise für Datei-Übertragung oder private Chats benutzt). Die Router mit entsprechenden Schwachstellen würden nun sämtliche Ports von dem betreffenden Rechner offenlegen, obwohl die dies eigentlich nicht sollten. Für sein Proof-of-Concept nutze er auf der manipulierten Webseite einen Button, um den Hack in Gang zu bringen. Kamkar aber sagt auch, dass man dieses für die meisten Nutzer unsichtbar auch einfach mit Hilfe von JavaScript realisieren könnte.

Das Problem sei schwer zu lösen, da es auf die sogenannte Network Address Translation (NAT) setzt, die in den meisten Routern genutzt wird. Eine Software-Firewall auf den Client-Rechnern würde zuverlässigere Ergebnisse liefern, doch auch dort könnten diverse Ports unbeabsichtigt offenliegen. Samy Kamkar kommentierte: "Viele haben ein trügerisches Gefühl der Sicherheit und denken, 'hm, wenn ich hinter dem Router bin, kommt niemand an meine Ports'." Anstatt sich in dieser trügerischen Sicherheit zu wähnen, sollte man lieber die einzelnen Services, die über die Ports laufen, sicher konfigurieren. Für seinen Hack nutzte er der IRC-Port, da dieser bei den meisten Linux-Standardkonfigurationen ohnehin geöffnet sei. Das Verfahren würde auch über den Standard-FTP-Port funktionieren. Getestet wurde auf einem Belkin N1 Vision Wireless, doch auch andere Router könnten sehr gut von dieser Schwachstelle betroffen sein.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Versteckter Administrator-Zugang auf D-Link-Routern
« Antwort #14 am: 10 Januar, 2010, 15:02 »
Nach Angaben der Webseite SourceSec Security Research sind zahlreiche – möglicherweise sogar alle – seit 2006 angebotenen Router der Firma D-Link von einer fehlerhaften Implementierung des Home Network Administration Protocol (HNAP) betroffen. Dies können lokale und externe Angreifer ausnutzen, um Zugriff auf die Netzwerkeinstellungen zu erhalten.

Laut SourceSec haben die D-Link-Router neben dem eigentlichen Administrator-Zugang einen nicht abschaltbaren HNAP-Zugang. Dieser Administrator-Zugang per HTTP sei bei den Modellen DI-524, DIR-628  und DIR-655 nachweislich fehlerhaft und erlaube es Angreifern, die administrativen Einstellungen zu bearbeiten und in der Konsequenz den Netzwerkverkehr vollständig kontrollieren zu können.

Das SOAP-basierte HNAP sehe zwar grundsätzlich eine Autorisierung des Administrators vor, doch könne man bei einigen D-Link-Routern den SOAP-Request "GetDeviceSettings" auch ohne ausführen und so weitere unautorisierte SOAP-Anfragen an den Sicherheitsmechansimen vorbeischleusen. Bei anderen Routern der Firma gebe es diesen Fehler zwar nicht, dafür könne ein Angreifer das meist vergessene Nutzerkonto (Login: user, kein Passwort) missbrauchen. SourceSec beschreibt die Details hierzu in einem PDF; auch ein Beispiel-Exploit namens HNAP0wn findet sich auf der Webseite.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )