Thema: Angreifbare NAS´s, Router, Modems & Accesspoints ...

[SiLæncer]

Die Deutsche Telekom hat eine Sicherheitslücke im WLAN-Router Speedport LTE II gefunden. Angreifer könnten dadurch die Bandbreite einschränken. Ein dringend empfohlenes Update zur Behebung des Problems steht bereit.

Die Deutsche Telekom hat festgestellt, dass der WLAN-Router Speedport LTE II eine Sicherheitslücke hat. "Durch die Schwachstelle wäre es einem Angreifer möglich, die dem Nutzer zur Verfügung stehende Bandbreite einzuschränken", erklärte das Unternehmen.

Die Router Speedport LTE und Speedport HSPA seien nicht betroffen. Zur Behebung des Problems hat die Telekom ein Softwareupdate für die Firmware des Speedport LTE II zum Download bereitgestellt und empfiehlt allen Nutzern des Speedports LTE II, das Softwareupdate umgehend einzuspielen.

Hersteller des Speedport LTE II ist der chinesische Telekommunikationsausrüster Huawei.

Die betroffenen Kunden werden auch per E-Mail von der Telekom benachrichtigt und können sich bei Problemen mit der Installation der neuen Firmware an die kostenfreie Hotline unter 0800 3306007 wenden.

Ende März 2013 hatten zwei Sicherheitsprojekte zahlreiche Router untersucht und teilweise erschreckende Sicherheitslücken gefunden. Die getesteten Geräte stammten unter anderem von Belkin, Linksys, Netgear und Sitecom. Die italienische Firma eMaze entdeckte dabei im dort verbreiteten Router WLM-3500 eine Hintertür.

In der Firmware dieses Geräts sind ab Werk zwei Benutzerkonten angelegt, mit denen sich Nutzer auch über das Internet in die Weboberfläche einloggen können. Danach ist es auf einfache Weise möglich, auch Adminrechte auf dem Gerät zu erlangen und somit das vermeintlich private Netz wie das eigene zu behandeln und auch beliebigen Traffic über den Router umzuleiten. Die Sicherheitsforscher des US-Unternehmens IMS hatten 13 Geräte untersucht und fanden bei allen Schwachstellen.

Quelle : www.golem.de

[SiLæncer]

Viele Consumer-Geräte lassen sich per Web-Interface bequem konfigurieren, doch sie haben teilweise haarsträubende Sicherheitslücken. Insbesondere die Router sind angreifbar. Aber die Hersteller reagieren kaum, sagt Sicherheitsexperte Michael Messner.

Wahre Horrorgeschichten hat der Sicherheitsexperte und Pentester Michael Messner in seinem Vortrag auf der Sigint 2013 in Köln erzählt. "Alle Verbrechen, die in den vergangenen 15 Jahren in der IT-Security begangen wurden, finden sich auch in den Routern", sagte Messner. Bereits im Frühjahr hatte er auf gefährliche Sicherheitslücken aufmerksam gemacht, die D-Link zu einem Update zwangen. Auf der Sigint zeigte Messner in seinem sehr unterhaltsamen Vortrag auch ein neues Angriffsszenario anhand von Universal Plug-and-Play (UPnP).

Der ganze Artikel

Quelle : Quelle : www.golem.de

[SiLæncer]

Der Sicherheitsexperte Michael Messner hat erneut eine kritische Schwachstelle in zahlreichen Routern von D-Link entdeckt. Über speziell präparierte POST-Request kann ein Angreifer offenbar beliebige Befehle in die Modelle DIR-300 Rev B, DIR-600 Rev B, DIR-645, DIR-845, DIR-865 einschleusen. Nach Angaben des Sicherheitsexperten sind unter Umständen auch andere Modell betroffen. Die Lücke im klafft UPnP-Modul der Router.

Messner weist darauf hin, dass bei einigen Modellen das Download-Tool wget installiert ist. Ein Angreifer kann es potenziell missbrauchen, um den Router Schadcode aus dem Internet nachladen zu lassen und anschließend auszuführen. Der Experte erklärte gegenüber heise Security, dass er derzeit an einem Metasploit-Modul arbeitet, mit dem man selbst überprüfen kann, ob ein Router verwundbar ist.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

In etlichen Asus-Routern klaffen offenbar kritische Sicherheitslücken, durch die ein Angreifer aus der Ferne die volle Kontrolle übernehmen kann, wie der Security-Experte Kyle Lovett der Mailingliste Bugtraq berichtet. Ein wunder Punkt ist der Medienserver AiCloud. Ist dieser aktiv, macht er Unbefugten kritische Systemdateien über das Internet zugänglich – darunter auch solche, die Zugangsdaten im Klartext enthalten.

Ein Angreifer kann mit den Zugangsdaten auf die persönlichen Dateien des Router-Besitzers zugreifen, die auf angeschlossenen USB-Geräten gespeichert sind. Darüber hinaus könnte er sich über die AiCloud unter Umständen auch auf die Netzwerkfreigaben anderer Rechner im Netz des Routers weiterhangeln.

Laut Lovett erlauben die Lücken auch einen Schreibzugriff auf die Systemdateien, wodurch ein Angreifer zum Beispiel einen VPN-Tunnel in das Router-Netz einrichten kann. Darüber hinaus könnte der Eindringling sämtlichen Traffic abgreifen, der den Router passiert.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Allzu einfach hat es sich Vodafone mit der Sicherheit der EasyBox-Router gemacht. Nachdem bereits vor zwei Jahren eine Methode zum Knacken des voreingestellten WPA-Passworts bekannt wurde, gelang nun der Angriff auf den WLAN-Einrichtungsmechanismus WPS. Das Bundesamt für Sicherheit in der Informationstechnik stuft die Lücke als kritisch ein.

Kernpunkt des Problems: Die voreingestellten Passworte wurden alleine aus der MAC-Adresse der Geräte berechnet. Aufgrund dieser Tatsache war es schon bisher möglich, die voreingestellten WPA-Passworte zu errechnen. Die von Stefan Viehböck von SEC Consult ermittelte Schwachstelle geht allerdings darüber hinaus. Selbst wenn der Endkunde das WPA-Passwort geändert hat, können Angreifer über WiFi Protected Setup (WPS) Zugriff auf den Router erhalten.

Dazu wäre eigentlich ein Code erforderlich, der auf vom Router abgelesen werden muss. Viehböck konnte diese WPS-ID jedoch mit einem einfachen Python-Script aus der BSSID-Kennung errechnen, mit der sich der Router per WLAN identifiziert. Damit kann jeder in Reichweite des WLANs alle notwendigen Informationen erhalten, um sich einzuloggen. Hat ein Angreifer einmal Zugriff auf den Router erlangt, kann er nicht nur den Internetzugang nutzen, sondern auch das Heimnetz des Nutzers angreifen, um beispielsweise über Man-in-the-middle-Attacken Passwörter abzuhören.

Vodafone wurde bereits im Dezember 2012 auf das Problem aufmerksam gemacht, hat die Lücke bisher aber nicht geschlossen. Betroffen sind die Modelle EasyBox 802 und die vor Juli 2011 produzierten Geräte des Typs EasyBox 803. Das Bundesamt für Sicherheit in der Informationstechnik rät als Workaround dazu,die WPS-PIN zu ändern, WPS zu deaktivieren und obendrein das bestehende Passwort für die WLAN-Verschlüsselung zu ändern. Das Bundesamt schließt nicht aus, dass auch weitere Geräte der Zulieferer Arcadyan beziehungsweise Astoria Networks von der Lücke betroffen sind.

Update 06.08.2013 um 8:10 Uhr: Inzwischen hat Vodafone Nachbesserung versprochen. Gegenüber heise Security erklärte ein Unternehmenssprecher: "Derzeit arbeitet Vodafone mit Hochdruck an der neuen Firmware für die älteren EasyBoxen." Nach dem Update soll ein Zugriff auch dann nicht möglich sein, wenn Kunden die Zugangsdaten im Router nicht ändern.

Quelle : www.heise.de

[SiLæncer]

c't ist auf eine Gruppe von manipulierten Routern gestoßen, die den Datenverkehr ihrer Nutzer ausspionieren. Die bisher noch unbekannten Angreifer haben auf die Geräte aus der Ferne eine manipulierte Firmware eingespielt, die ein Schnüffelprogramm enthält. Das Tool ist darauf spezialisiert, Zugangsdaten aus dem Netzwerkverkehr zu extrahieren. Die gesammelten Daten haben die Router anschließend bei den Drahtziehern abgeliefert.

Das Router-Botnet war international aktiv und hat auch zahlreiche Opfer in Deutschland gefunden. So hat etwa einer der Router in einer deutschen Anwaltskanzlei die Zugangsdaten von sämtlichen Mail-Accounts der dort tätigen Juristen weitergegeben. c't hat nach hausinterner Untersuchung des Vorgangs das LKA Niedersachsen detalliert in Kenntnis gesetzt, sodass in der Folge viele Opfer identifiziert und gewarnt werden konnten. Schließlich konnten so auch die ermittelten Control-Server, die die Router gesteuert haben, vom Netz genommen werden.

Eine eingehende Analyse der Attacke und des Router-Botnets finden Sie in der aktuellen c't 21/13:

   Aufstand der Router, Hinter den Kulissen eines Router-Botnets 

Quelle : www.heise.de

[SiLæncer]

In einer Reihe von D-Link-Routern wurde eine Hintertür entdeckt, die es einem Angreifer erlaubt, die Passwortabfrage des Web-Interface zu überspringen – einfach durch das Ändern des User Agent im Browser. Ein Angreifer im Netz des Routers kann so sämtliche Einstellungen des Gerätes manipulieren. Ist die WAN-Konfiguration aktiviert, so ist dieser Angriff auch über das Internet möglich. Entdeckt hatte die Schwachstelle die Hackergruppe /dev/ttyS0 beim Durchforsten der Router-Firmware 1.13 für die Revision A des DIR-100-Routers.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Router-Hersteller D-Link hat sich zu den Berichten eines Sicherheits-Forschers geäußert, der Hintertüren in einer Reihe von Geräten des Unternehmens entdeckt hatte.

In der heute veröffentlichten Stellungnahme heißt es, dass man dies zum Anlass genommen habe, die erwähnten Modelle zu überprüfen. Die aktuell im deutschsprachigen Raum zum Verkauf stehenden Router-Modelle seien von dem Problem nicht betroffen, so das Ergebnis.

Konkret kam die deutsche Niederlassung von D-Link zu dem Ergebnis, dass die aktuell oder zu einem früheren Zeitpunkt erhältlichen Produkte DIR-100 (Revision D), DIR-615, DI-524 (Revision B) und DI-524/DE (Revision B) nicht von der Sicherheitslücke betroffen sind oder waren. Die von dem Sicherheitsforscher ebenfalls aufgeführten Produkte DI-604S, DI-604UP, DIR-604+ sowie TM-G5240 wurden nicht in Deutschland, Österreich und in der Schweiz verkauft.

Die Router DIR-100 (Revision A) und DI-524UP seien hingegen von der gemeldeten Backdoor betroffen. Sie werden jedoch seit längerer Zeit nicht mehr in Deutschland, Österreich und in der Schweiz verkauft, so der Hersteller. Allerdings besteht durchaus die Möglichkeit, dass entsprechende Systeme noch im Einsatz sind und von Angreifern über einen Netzwerkscan gefunden werden können.

Für die zuletzt genannten Modelle erstellt D-Link daher Firmware-Updates, die die Sicherheitslücke beheben sollen. Diese steht nach den bisherigen Schätzungen Anfang November zur Verfügung. Nutzern, die die Remote Management Funktion aktiviert haben, wird empfohlen, diese bis dahin zu deaktivieren, um sich gegen aktive Angriffe aus dem Internet zu schützen, hieß es.

Die Hintertür war offenbar von einem der Firmware-Entwickler hinterlassen worden, um jenen, die Kenntnis von der genauen Vorgehensweise hatten, einen Zugriff auf die Systemeinstellungen der Router zu geben, ohne, dass man sich mit einem Passwort anmelden muss.

Quelle : http://winfuture.de

[SiLæncer]

Sicherheitsforscher Zach Cutlip hat eine Hintertür im Webinterface des Netgear Routers WNDR3700v4 entdeckt. Besucht man eine spezielle Webseite auf dem Gerät, erlaubt der Router dem Nutzer von da an, ohne Eingabe von Benutzername und Passwort auf alle Funktionen des Routers zuzugreifen. Diese Zugriffsrechte überstehen sogar einen Neustart des Routers. Ist Fern-Administration über das Internet aktiviert, kann der Router problemlos aus dem Internet gekapert werden.

Es stellt sich heraus, dass die von Cutlip gefundene Sicherheitslücke eine Variante der Hintertür ist, die im April in Netgears Modell WNDR4700 gefunden wurde. Surft man auf einem betroffenen Router die Webseite BRS_02_genieHelp.html im Hauptverzeichnis des Webservers an, kann man von da an ohne Authentifizierung auf die Administrator-Einstellung des Routers zugreifen. Cutlip glaubt, dass außer den Modellen WNDR3700v4 und WNDR4700 auch die 3800er Serie betroffen sein könnte. In einem kurzen Test konnte heise Security die Lücke in der Version 2 des WNDR3700 nicht bestätigen. Auch Netgears Modell WND24500 scheint nicht betroffen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

D-Link hat Firmware-Updates für eine Reihe von Routern herausgegeben, die eine Hintertür in der Passwortabfrage des eingebauten Webservers schließen. Sicherheitsforscher hatten im Oktober entdeckt, dass eine einfache Änderung des User Agents eines Browsers auf den String "xmlset_roodkcableoj28840ybtide" einen Angreifer dazu befähigt, die Passwortabfrage zu umgehen. D-Link hat dieses Problem nun mit neuen Firmware-Versionen für acht verschiedene Router-Modelle behoben.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Auf einige Routern von Linksys und Netgear läuft offenbar ein undokumentierter Dienst, über den man unter anderem die Konfiguration einschließlich der Klartext-Passwörter auslesen und auch manipulieren kann. Es besteht die Möglichkeit, dass auch Geräte anderer Hersteller betroffen sind.

Der Reverse Engineer Eloi Vanderbeken hat entdeckt, dass sein heimischer Linksys-Router WAG200G über den Port 32764 erreichbar ist. Anschließend nahm er die Router-Firmware mit dem Analyse-Tool binwalker auseinander und konnte schließlich ergründen, was es mit dem lauschenden Dienst auf sich hat. Es handelt sich um eine Konfigurationsschnittstelle, durch die man eine Reihe von Befehlen auf dem Router ausführen kann. Einer der Befehle etwa setzt das Gerät auf Werkeinstellungen zurück, ein anderer spuckt die Router-Konfiguration aus – mitsamt aller Passwörter im Klartext.

Nachdem Vanderbeken seine Informationen ins Netz stellte, meldeten sich Besitzer anderer Modelle, die das Phänomen nachvollziehen konnten. Die Rückmeldungen trägt er bei Github zusammen, wo er auch ein Proof of Concept veröffentlicht hat. Ein erstes Indiz dafür, was es mit dem Dienst auf sich haben könnte, liefert die Zeichenfolge "ScMM", die von den betroffenen Routern nach dem Verbindungsaufbau über Port 32764 gesendet wird. Es könnte sich dabei um eine Abwandlung des Firmennamens SerComm zu handeln. SerComm hat offenbar zumindest einige der betroffenen Geräte als OEM hergestellt. Das Unternehmen soll auch Netzwerkausrüster wie Belkin und LevelOne beliefern. Ob auch deren Router betroffen sind, ist derzeit nicht bekannt.

Zumindest in einigen Fällen scheint der fragliche Dienst nicht nur über das lokale Netz, sondern auch über das Internet erreichbar zu sein. Eine Recherche mit der Spezialsuchmaschine Shodan förderte fast 3000 IP-Adressen zu Tage, die auf Port 32764 antworten; davon rund 60 aus Deutschland. heise Security hat Linksys und Netgear am Donnerstagvormittag um eine Stellungnahme gebeten. In beiden Fällen steht eine Antwort bislang noch aus.

Quelle und Links : http://www.heise.de/security/meldung/Mysterioese-Backdoor-in-diversen-Router-Modellen-2074394.html

[SiLæncer]

Nach der Entdeckung des undokumentierten Dienstes, über den man unter anderem bei Routern von Linksys und Netgear die Systemkonfiguration manipulieren kann, wird die Liste der betroffenen Geräte immer länger. Was es mit dem ominösen Dienst auf sich hat, dazu hüllen sich die Hersteller bislang in Schweigen. Ob auch Ihr Router auf dem Port 32764 lauscht, können Sie mit dem Netzwerkcheck von heise Security herausfinden.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Über eine Woche, nachdem die in zahlreichen Routern enthaltene Backdoor aufgedeckt wurde, melden sich nun auch die Hersteller zu Wort. So erklärte ein Sprecher des zu Belkin gehörenden Netzwerkausrüsters Linksys, dass man sich des Problems bewusst sei und derzeit an einer Lösung arbeite. Linksys ist gleich mehrfach auf der Liste der betroffenen Geräte vertreten. Bei einem der Router, dem WAG120N, soll die undokumentierte Hintertür sogar über das Internet erreichbar sein.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Bei einem Scan über deutsche IP-Adressen fand heise Security über 350 Router, deren komplette Konfigurationsdaten sich direkt auslesen lassen. Darin enthalten: Passwörter für den Admin-Zugang des Routers, das WLAN, den DSL-Zugang, Proxy-Server und DynDNS-Dienste. Sogar Passwörter und Zertifikate für VPNs fanden sich auf einigen Geräten. Dabei sind die anfälligen Router in Deutschland vergleichsweise selten; in anderen Ländern gibt es deutlich mehr betroffene Systeme.

Mysteriöse Backdoor

Ursache dieses massiven Sicherheitsproblems ist eine immer noch mysteriöse Backdoor in Routern verschiedener Hersteller – unter anderem von Cisco, Linksys, Sercomm und Netgear. Bei diesen Routern läuft ein undokumentierter Dienst auf dem TCP-Port 32764, über den sich die Konfiguration des Geräts nicht nur auslesen, sondern sogar ändern lässt – und das ganz ohne Passwort.

In manchen Fällen ist dieser Port sogar auf der Internet-Seite erreichbar. Sehr viel häufiger kann man sie nur aus dem lokalen Netz oder dem WLAN erreichen. Das ist zwar nicht ganz so kritisch, kann sich aber ebenfalls als problematisch erweisen, etwa bei Firmen, in öffentlichen Netzen oder wenn ein Trojaner diese Lücke nutzt, um etwa einen anderen DNS-Server im Router einzutragen und damit den Internet-Verkehr der angeschlossenen Geräte umleiten kann.

Der ganze Artikel

Quelle : www.heise.de

[Hans Vader]

Auf der Heiseseite www.heise.de gibt es einen schönen Portscanner 

Ich habe dann mal meine Fritzbox (7270) getestet.


Gefiltert u. Geschlossen ist o.k.