Thema: Angreifbare NAS´s, Router, Modems & Accesspoints ...

[SiLæncer]

Eine der Sicherheitslücken, die momentan Router von D-Link unsicher macht, wurde gleich von zwei Sicherheitsforschern gefunden. Außerdem ist mindestens ein weiteres Modell betroffen. Updates lassen weiter auf sich warten.

In mehreren Routern des Herstellers D-Link klaffen Sicherheitslücken, die es Angreifern unter bestimmten Umständen ermöglichen, die Geräte aus der Ferne zu übernehmen. Öffentlich gemacht wurden die Lücken von Sicherheitsforscher Peter Adkins vergangene Woche. Nun meldet die Sicherheitsabteilung des Schweizer Telekommunikations-Unternehmens Swisscom, dass weitere Geräte betroffen seien. Mindestens das Modell DIR636L gilt ebenfalls als verwundbar.

Außerdem stellt sich heraus, dass die Schwachstelle mindestens seit November bekannt ist – also seit über drei Monaten. Adkins hatte D-Link Mitte Januar informiert, doch wie Swisscom meldet, hatte ein anderer Sicherheitsforscher die Lücke am 30. November entdeckt. Swisscom hatte sich zuerst eine CVE-Nummer für die Lücke zuteilen lassen (CVE-2015-118) und dann am 2. Februar D-Link informiert. Am 16. Februar hatte D-Link dann gegenüber Swisscom einen Zeitplan für Patches mitgeteilt.

Adkins wartete seit dem 14. Januar vergeblich auf eine Antwort D-Links und gab seine Erkenntnisse schließlich vergangene Woche bekannt, vermutlich ohne vom parallelen Informationsaustausch zwischen D-Link und Swisscom zu wissen. Swisscom selbst veröffentlichte am heutigen Montag eigene Details zu der Lücke, nachdem man auf die Veröffentlichung von Adkins gestoßen war. Die Firma Trendnet, deren Router ebenfalls betroffen sind, hatte am 10. Februar Firmware-Updates veröffentlicht.

Quelle : www.heise.de

[SiLæncer]

In mindestens acht Router-Modellen von D-Link klaffen Lücken, wie die Firma nun bestätigt hat. Man arbeite an Firmware-Updates. Für ein Router-Modell stehen diese schon bereit.

D-Link ist aufgewacht und hat nun die Lücken, die in einer Reihe von Routern der Firma klaffen, öffentlich bestätigt. Acht Router-Modelle sind laut der Firma betroffen, für eins davon gibt es nun ein Firmware-Update. An weiteren Patches wird gearbeitet, so ein Advisory der Firma.

In seiner Mitteilung bestätigt D-Link Lücken in den folgenden Routern: DIR-626L, DIR-636L, DIR-808L, DIR-810L, DIR-820L, DIR-826L, DIR-830L und DIR-836L. Besitzer des DIR-820L Rev. A sollten das Update für ihre Gerät so schnell wie möglich herunterladen, um die Lücken zu stopfen. Download-Links zu den Firmware-Images werden im Advisory unter "Affected Product" aufgelistet. Sobald neue Updates zur Verfügung stehen, will die Firma diese nachtragen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Jeder Router ist ständig automatisierten Angriffen aus dem Internet ausgesetzt. Ein paar Vorsichtsmaßnahmen reduzieren das Risiko, dass ein Angriff zum Erfolg führt – selbst wenn ein Sicherheitsloch in der Router-Software klafft.

Die Hersteller von Routern für DSL- und Kabelanschlüsse erleichtern die Bedienung durch diverse Vorgaben wie IP-Adressen, Gerätenamen und Such-Domains. Solche Werksvorgaben erleichtern aber auch den Bau von Schadsoftware: Anstatt lange nach potenziellen Opfern zu suchen, schießt sie einfach auf die üblichen Ziele. Und so wird aus „gut gemeint“ ein Sicherheitsrisiko.

Router lassen sich sowohl direkt aus dem Internet als auch übers LAN angreifen. Ein beliebtes Ziele dieser Angriffe ist die Verwaltungsoberfläche. Der direkte Zugriff darauf aus dem Internet ist ab Werk bei praktisch keinem Router möglich. Aber über manipulierte, untergeschobene Links gelingen Angriffe auch über Bande (CSRF). Zuletzt konnte man so etwas bei Fritzboxen beobachten: Eine Webseite wird so manipuliert, dass sie eine URL zur Fritzbox-Verwaltung enthält (zum Beispiel http://fritz.box/home/home.lua). Die Angreifer nutzten dabei die Herstellervorgabe für fritz.box aus, unter der alle AVM-Router im LAN antworten. Über eine bekannte, weil voreingestellte IPv4-Adresse klappen solche Angriffe ebenfalls. Wenn nun ein PC im Inneren des Netzes die manipulierte Webseite aufruft, attackiert der PC den Router aus dem nur noch scheinbar vertrauenswürdigen Teil des Netzwerks.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Beim Versuch drei Lücken in der Firmware der Router DIR-645 und DIR-890L zu schließen, hat D-Link eine weitere Lücke eingebaut. Und die alten Löcher klaffen immer noch.

Die Routerhacker von /dev/ttyS0 können es nicht fassen: Nach dem sie alte Lücken in einem neuen D-Link-Router gefunden hatten, mussten sie jetzt feststellen, dass selbst der entsprechende Patch nicht funktioniert. Beim Versuch, mehrere Sicherheitslücken in seiner Router-Firmware abzudichten hat D-Link offensichtlich eine weitere Lücke eingebaut.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Seit mindestens August klafft eine kritische Lücke in Routern der Firmen D-Link und Trendnet. Diese geht auf ein Toolkit der Firma Realtek zurück, die Anfragen von Sicherheitsforschern für Monate beharrlich ignorierte. Nun ist die Lücke öffentlich.

Die letzten Lücken in D-Link-Routern sind noch nicht geschlossen, da decken Sicherheitsforscher schon wieder neue Probleme in der Router-Firmware des Herstellers auf (CVE-2014-8361). Diesmal handelt es sich um eine Lücke, über die Angreifer aus der Ferne Schadcode mit Systemrechten ausführen können und die auf das Entwicklungs-Toolkit für WLAN-Controller der Firma Realtek zurückgeht. Betroffen sind eine ganze Reihe von Routern von D-Link und Trendnet; nach dem CVSS-Scoring ist die Lücke mit einem Score von 10 hoch kritisch.

Der zugrunde liegende Bug befindet sich im SOAP-Dienst miniigd aus dem Realtek-SDK. Hier werden die Daten aus eingehenden Paketen nicht gründlich genug geprüft, was ein Angreifer missbrauchen kann um sich Root-Rechte zu verschaffen. Um herauszufinden, ob der eigene Router verwundbar ist, kann man das Metasploit-Framework nutzen. Falls der Router in seiner Antwort auf UPNP-Anfragen den String "RealTek/v1.3" oder etwas ähnliches ausgibt, ist er laut dem Entdecker der Lücke angreifbar. Diese Herangehensweise eignet sich allerdings nur für technisch versierte Nutzer.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Durch einen verwundbaren Dienst können Angreifer beliebigen Code auf dem Router mit Kernel-Rechten ausführen. Die Anzahl der potenziell betroffenen Router-Hersteller ist immens.

In Routern etlicher Hersteller klafft eine kritische Sicherheitslücke, durch die ein Angreifer Code mit Kernel-Rechten ausführen kann. Betroffen ist die von KCodes entwickelte Funktion USB Over IP, die Router nutzen, um zum Beispiel USB-Drucker oder externe Festplatten im lokalen Netz freizugeben. Entdeckt wurde die Lücke von der österreichischen Pentesting-Firma SEC Consult. Die Sicherheitsexperten haben in Treibern Hinweise darauf gefunden, dass die verwundbare Komponente von bis zu 26 Herstellern eingesetzt wird, darunter bekannte Namen wie D-Link, Netgear, TP-Link und ZyXEL.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Wer einen unsicher konfigurierten Router betreibt, könnte schon bald Probleme bekommen: Ein Virenforscher hat ein Exploit-Kit entdeckt, das zahlreiche Router-Modelle bekannter Hersteller angreifen kann.

Online-Angreifer nutzen ein bisher unbekanntes Exploit-Kit, um über 50 Router-Modelle zu attackieren. Wie der Virenforscher Kafeine berichtet, versucht es Schwachstellen im Router auszunutzen, um den eingestellten DNS-Server zu manipulieren. So können die Angreifer den Internetverkehr ihrer Opfer umleiten.

Das Exploit-Kit greift den Router über den Browser an, wenn man auf einer verseuchten Webseite landet. Dabei wird verschlüsselter JavaScript-Code ausgeführt, der zunächst versucht, die interne IP-Adresse des Routers und das Modell zu ermitteln. Anschließend startet das Exploit-Kit einen auf den Router zugeschnittenen Angriff. Je nach Modell versucht es entweder bekannte Sicherheitslücken auszunutzen oder es probiert Standardzugangsdaten wie admin:admin durch.

Traffic-Umleitung durch DNS-Manipulation

Ist der Angriff erfolgreich, ändert des Kit den im Router eingestellten DNS-Server auf eine IP-Adresse, die unter der Kontrolle der Online-Ganoven steht. Der fortan genutzte DNS-Server liefert vermutlich falsche Antworten zurück, wodurch die Täter den Datenverkehr ihrer Opfer beliebig umleiten können. Versucht das Opfer zum Beispiel Google.de zu erreichen, könnten es die Angreifer auf eine nachgebaute Google-Seite umleiten, auf der massenhaft Werbung eingeblendet wird, deren Erlöse auf das Konto der Angreifer gehen. Ferner können die Täter den manipulieren Router für Phishing oder DDoS-Angriffe missbrauchen.

Die aktuellste Lücke, die das Exploit-Kit auszunutzen versucht, ist gerade einmal seit drei Monaten öffentlich bekannt. Wer einen betroffenen D-Link-Router besitzt, dessen Firmware nicht auf dem aktuellen Stand ist, der ist für die Cyber-Angreifer leichte Beute. Der aktuelle Fund zeigt einmal mehr, dass es nicht nur wichtig ist, dass Router-Hersteller zeitnah abgesicherte Firmware-Versionen veröffentlichen. Die Firmen müssen ihre Kunden auch aktiv über wichtige Updates informieren. Im Idealfall schaut der Router selbst nach Aktualisierungen und installiert sie auf Wunsch automatisch.

Router-Firmware aktualisieren!

Schützen kann man sich vor solchen Angriffen, indem man sich regelmäßig davon überzeugt, dass die Router-Firmware aktuell ist. Sofern der Hersteller den Router mit einem Standardpasswort für das Webinterface ausliefert, sollte man dieses unbedingt ändern, da das Exploit-Kit auch einen Wörterbuchangriff fährt.

Quelle : www.heise.de

[SiLæncer]

In zahlreichen NAS von D-Link klaffen Lücken, durch die ein Angreifer schlimmstenfalls die Kontrolle über das Gerät übernehmen kann. So gelingt in einigen Fällen etwa das Einloggen mit als Nutzer root – ohne Passwort.

53 zum Teil kritische Sicherheitslöcher klaffen oder klafften in diversen Netzwerkspeichern von D-Link. Entdeckt hat sie der Pentester Gergely Eberhardt von Search-Lab, der die Details zu den Lücken in einem 32-seitigen PDF-Dokument beschreibt. Er versucht den Hersteller seit fast einem Jahr dazu zu bringen, sie zu schließen.

Eberhardt stieß auf Schwachstellen verschiedener Gattungen. So gelang es ihm, die Authentifizierung der Web-Konsole gleich auf mehreren Weisen zu umgehen – etwa indem er die standardmäßig vorhandenen Accounts "root" und "nobody" nutzte. Für diese war kein Passwort gesetzt und es ließ sich auch keines setzen. Bei den meisten Lücken handelt es sich um Command-Injection-Lücken, die sich zum Einschleusen und Ausführen von Befehlen eignen. Auch Buffer Overflows finden sich auf der langen Liste der Sicherheitsprobleme.

Betroffene Modelle:

    DNS-320
    DNS-320B
    DNS-320L
    DNS-320LW
    DNS-322L
    DNS-325
    DNS-327L
    DNS-345
    DNR-326
    DNR-322L

Laut Eberhardt wurden einige der Lücken durch halbgare Sicherheits-Patches in die Router-Firmware eingeschleust. Das ist dem Hersteller auch schon bei zwei Router-Modellen passiert. Der Pentester steht bereits seit Juli vergangenen Jahres bezüglich der Schwachstellen mit dem Unternehmen in Kontakt – mit dem Ergebnis, dass zumindest viele inzwischen beseitigt wurden.

Wer eines der betroffenen Geräte betreibt, sollte umgehen die jeweils aktuelle Firmware-Version einspielen, um es zumindest so weit abzusichern, wie es derzeit möglich ist. Zudem sollte man darauf achten, dass das Web-Interface des Routers nicht über das Internet erreichbar ist. Eberhardt rät zudem, die UPnP-Funktion abzuschalten.

Quelle : www.heise.de

[SiLæncer]

Mit Sicherheits-Updates schließt der Netzwerkausrüster ZyXEL die kritische NetUSB-Lücke in allen betroffenen Modellen.

Der Netzwerkausrüster ZyXEL hat die kritische NetUSB-Lücke in vier seiner Router geschlossen. Abgesicherte Firmware-Updates gibt es für die folgenden Modelle (FTP-Direktlinks):

    NBG-419N V2
    NBG4615 V2
    NBG5615
    NBG5715

Nach Angaben des Herstellers sind keine weiteren ZyXEL-Router von NetUSB betroffen. Durch die Lücke kann ein Angreifer Code auf dem Router mit Kernel-Rechten ausführen. Der Entdecker der Lücke geht davon aus, dass Geräte von bis zu 26 Herstellern anfällig sind oder waren.

Quelle : www.heise.de

[SiLæncer]

Nachdem kürzlich ein Exploit-Kit aufgetaucht ist, dass über 50 Router-Modelle verschiedener Hersteller angreifen kann, hat Asus nun Firmware-Updates für 16 Router herausgebracht.

Asus hat die Firmware zahlreicher Router-Modelle abgesichert, um Manipulationen durch Cyber-Kriminelle zu erschweren. Konkret hat der Router-Hersteller neue Schutzfunktionen implementiert, die unberechtigte Zugriff auf das Web-Interface verhindern sollen. Damit reagiert das Unternehmen auf die Angriffe durch das sogenannte Router Exploit Kit, welches den Router angreift, wenn man auf einer verseuchten Webseite landet.

Schutz gegen CSRF

Das Exploit Kit nutzt eine Angriffstechnik namens Cross-Site-Request-Forgery (CSRF), um über den Browser des potenziellen Opfers auf das Web-Interface seines Routers zuzugreifen. Das Kit versucht Sicherheitslücken auszunutzen und probiert gängige Standardpasswörter durch. Gelingt der Einbruch, manipuliert der Schadcode die DNS-Einstellungen, wodurch der gesamte Internetverkehr manipuliert und umgeleitet werden kann.

Mit den Firmware-Updates hat das Exploit Kit nun nicht mehr beliebig viele Chancen, Benutzername und Passwort des Router-Admins zu erraten (Brute-Force-Protection). Wie viele Versuche in welchen Zeitraum erlaubt sind, geht nicht aus den Changelogs hervor. Zudem wird der Nutzer bei der Einrichtung der Internetverbindung nun gezwungen, das Standardpasswort "admin" zu ändern.

Darüber hinaus kann man die Router so konfigurieren, dass der Zugriff auf das Webinterface nur von einer bestimmten IP-Adresse im lokalen Netz erlaubt ist. Last but not least will Asus auch die "Stärke der Authentifizierung" verbessert und CSRF-Lücken beseitigt haben, ohne dabei ins Detail zu gehen.

Firmware-Updates für 16 Router

Abgesicherte Firmware-Versionen findet man im Support-Bereich von Asus für die folgenden Modelle:

    RT-AC87U/RT-AC87R: Version 3.0.0.4.378.6117
    RT-AC3200: Version 3.0.0.4.378.6091
    RT-AC68U/RT-AC68P/RT-AC68R/RT-AC68W: Version 3.0.0.4.378.6152
    RT-AC56U/RT-AC56R: Version 3.0.0.4.378.6117
    RT-AC66U/RT-AC66R/RT-AC66W: Version 3.0.0.4.378.6117
    RT-N66U/RT-N66R/RT-AC66W: Version 3.0.0.4.378.6117
    RT-AC56S: Version 3.0.0.4.378.6117

Quelle : www.heise.de

[SiLæncer]

Unter anderem sind Asus und ZTE betroffen. Über den Telnet-Port können die Angreifer die betroffenen Geräte kapern. Die Hersteller lassen sich mit Updates viel Zeit.

Heimrouter der Firmen Asus, Digicom, Observa Telecom, Philippine Long Distance Telephone (PLDT) und ZTE lassen sich mit wenig Aufwand über Telnet kapern. Die betroffenen Geräte benutzen das fest eingestellte Standardpassword "XXXXairocon", wobei die vier X für die letzten vier Stellen der MAC-Adresse des Gerätes stehen. Diese lässt sich an Hand des SNMP-Traffics des Routers leicht ermitteln.

Bei allen Geräten außer denen von PLDT ist der zu dem Passwort gehörige Benutzername "admin". Bei PLDT-Routern heißt er "adminpldt". Bei den ZTE-Geräten ist die Lücke bereits seit 2014 bekannt, seit Mai kursieren Hinweise auf die selbe Lücke bei den Observa-Geräten. Es muss also davon ausgegangen werden, dass die Lücke auch schon bei anderen Routern für Angriffe genutzt wurde.

Folgende verwundbare Router sind bis jetzt bekannt:

    Asus: DSL N12E
    Digicom: DG-5524T
    Observa :RTA01N
    PLDT: SpeedSurf 504AN
    ZTE: ZXV10 W300

Keiner der betroffenen Hersteller hat bis jetzt mit Updates reagiert. Das CERT der Carnegie-Mellon-Universität empfiehlt deswegen, den Telnet-Dienst und SNMP-Verkehr der Geräte mit Firewall-Regeln abzuklemmen.

Quelle : www.heise.de

[SiLæncer]

"Linux.Wifatch" infiziert Router und mit dem Internet verbundene Geräte, bindet sie in ein Botnetz ein, entfernt Malware und stärkt sie gegen weiterere Infektion.

Handelt es sich um einen hinterlistigen Schad-Code oder um einen Superhelden in Software-Form? Der Symantec-Mitarbeiter Mario Ballano berichtet im Firmen-eigenen Blog über den Linux.Wifatch. Dieser Code befällt Router und andere IoT-Geräte (Internet of Things) und verbindet sie über ein Peer-to-peer-Netz.

Entdeckt wurde Wifatch 2014 von einem unabhängigen Experten, der auf seinem Heim-Router Prozesse bemerkte, die nicht zur eigentlichen Router-Software gehörten. Dabei stieß er auf einen raffinierten Code, der seinen Router in einen Botnet-Zombie verwandelt hatte.

Router und IoT-Geräte sind bei Botnetz-Betreibern beliebt. Sie enthalten zwar wenig interessante Daten, lassen sich aber leicht kontrollieren und beispielsweise für DDoS-Attacken einsetzen. Da sich die Infektion solcher Geräte von den Besitzern nicht so schnell entdecken lässt, bleiben die Zombies lange unbemerkt.

Als Symantec-Spezialisten sich bei der Überwachung solcher Botnetze auch Wifatch genauer anschauten, stießen sie auf ein ungewöhnlich ausgefeiltes Stück Software: WiFatch ist in Perl geschrieben und bringt für die verschiedenen Plattformen den jeweils passenden Interpreter mit. Über das Peer-to-peer-Netz werden Informationen und Updates verteilt, die die Geräte bei neuen Exploits gegen aktuellen Schadcode immunisieren sollen. Ein Modul versucht, vorhandene Malware aus dem infizierten System zu beseitigen. Was die Experten überraschte: Sie konnten keinerlei böswillige Aktivitäten wie DDoS-Attacken oder Spam-Versand beobachten.

Dass Viren die von ihnen infizierten Rechner und Geräte gegen konkurrierenden Schadcode absichern und gegnerische Schädlinge sogar deaktivieren, ist nicht unüblich. Bei Wifatch gibt es jedoch mehrere Unterschiede, die aufhorchen lassen: So deaktiviert der Code den oft als Einfallstor genutzten Telnet-Prozess. Nutzer, die sich via Telnet einloggen wollen, erhalten eine Nachricht, Telnet sei geschlossen worden, um weitere Infektionen zu verhindern. Man solle den Dienst bitte abschalten, das Telnet-Passwort ändern und die Firmware aktualisieren.

Ein weiterer Hinweis: Wifatch tarnt sich nicht, wie bei Malware durchaus üblich. Der Perl-Source-Code ist lediglich komprimiert. In ihm fanden die Symantec-Mitarbeiter sogar einen Kommentar, der die E-Mail-Signatur von Richard Stallmann, Software-Aktivist und Mitgründer des GNU-Projekts und der Free Software Foundation zitiert: "An alle NSA- und FBI-Agenten, die dies lesen: Bitte bedenken Sie, dass die Verteidigung der US-Verfassung gegen alle Feinde, ob ausländisch oder inländisch, erfordert, dass Sie dem Beispiel Snowdens folgen."

Einige Geräte wie die Dahua DVR-CCTV-Systeme (Video-Überwachungs-Systeme) werden von Wifatch wöchentlich rebooted. Das entfernt laufende Malware zuverlässig. Symantec selbst empfiehlt Reboots und das Aufspielen aktueller – und sauberer – Firmware-Versionen.

Trotz aller positiven Eigenschaften bleibt Wifatch aber eine Software, die Geräte ohne Erlaubnis der Eigentümer befällt, manipuliert und Hintertüren öffnet. Der Betreiber von Wifatch arbeitet zwar mit signierten Codes, um zu verhindern, dass böswillige Hacker das Botnetz übernehmen. Doch bleibt Wifatch illegal und potentiell gefährlich: Man stelle sich nur ein medizinisches Gerät wie eine Infusionssteuerung vor, die ohne Vorwarnung neu bootet und damit sogar Menschenleben gefährden kann.

Quelle : www.heise.de

[SiLæncer]

Über eine Sicherheitslücke haben Angreifer mindestens 11.000 Netgear-Heimrouter gekapert. Netgear hat einen Patch für die Lücke, der ist aber noch nicht beim Kunden angekommen.

Viele Heimrouter der Firma Netgear haben eine Sicherheitslücke, die es Angreifern erlaubt, die Passwort-Abfrage des Webinterfaces zu umgehen. Die Lücke wird allem Anschein nach schon monatelang von Hackern missbraucht, um Heimrouter aus der Ferne zu kapern. So haben Sicherheitsforscher auf einem Kontrollserver des verwendeten Schadcodes Hinweise entdeckt, die nahelegen, dass mindestens 11.000 Router über die Lücke geknackt wurden.

Uneingeschränkter Zugang aus der Ferne

Forscher von Compass Security hatten festgestellt, dass der Netgear-Router WNR1000v4 die Passwort-Abfrage abschaltet, wenn man die richtige URL im Webinterface aufruft. Das wird legitimerweise bei der ersten Installation des Routers verwendet, bevor der Nutzer des Gerätes ein Passwort vergeben hat. Die Sicherheitslücke besteht darin, dass diese Funktion weiterhin aktiv bleibt. Laut Compass Security ist nicht nur das Model WNR1000v4 betroffen, sondern eine ganze Reihe von Geräten, welche die gleiche Firmware einsetzen. Bestätigt haben die Forscher die Lücke an Hand der Firmware-Versionen N300_1.1.0.31_1.0.1 und N300_1.1.0.28_1.0.1.

Folgende Router sind wahrscheinlich angreifbar:

    JNR1010v2
    JWNR2000v5
    JWNR2010v5
    WNR614
    WNR618
    WNR1000v4
    WNR2020
    WNR2020v2

Netgear ist laut Compass Security seit drei Monaten über die Lücke im Bilde und hat einen entsprechenden Patch entwickelt, der bis jetzt allerdings noch nicht an Endkunden verteilt wurde. Compass Security hatte die Lücke jetzt offengelegt, da eine andere Sicherheitsfirma die Lücke ebenfalls entdeckt und veröffentlicht hatte. Gegenüber der BBC hat Netgear mitgeteilt, dass der Firmware-Patch am 14. Oktober bereitstehen soll. Die Firma sagte außerdem, weniger als 5.000 Geräte seien betroffen.

Quelle : www.heise.de

[SiLæncer]

Bis zu 1,3 Millionen Router im Kabel-Netz von Vodafone sind über WLAN angreifbar. Der Provider verspricht, die Lücken mit Firmware-Updates zu schließen. Das kann sich jedoch noch bis Jahresende hinziehen.

Wer über einen Kabelanschluss von Vodafone (Kabel Deutschland) surft, hat unter Umständen ein handfestes Sicherheitsproblem: Wie c't berichtet, klaffen in zwei der vom Provider eingesetzten Zwangsrouter kritische Schwachstellen. Ein Angreifer kann sich dadurch Zugriff auf das WLAN verschaffen und darüber nicht nur mitsurfen, sondern auch Datenverkehr mitlesen sowie die Rechner der Kunden attackieren.

Anfällig sind die Geräte von Compal Broadband Networks (CBN) und Hitron – nach Einschätzung von c't handelt es sich dabei vermutlich um die meist verbreiteten Modelle im Netz von Kabel Deutschland/Vodafone. Potenziell betroffen sind über eine Million Kunden.

Einfallstor WPS

Bei WPS (Wi-Fi Protected Setup) handelt es sich um eine Komfortfunktion, welche den Verbindungsaufbau mit dem WLAN erleichtert. Statt das potenziell lange und komplizierte WLAN-Passwort etwa mühsam über die Bildschirmtastatur des Smartphones einzutippen, drückt man einen Knopf, um den Client ins Netzwerk zu hieven. Eine weitere Spielart von WPS ist die sogenannte WPS-PIN-Methode, bei der man statt des Passworts lediglich eine achtstellige PIN eingeben muss. Der WLAN-Client erhält anschließend vom Router das WLAN-Passwort, mit dem er die Verbindung herstellen kann.

Die Router sind über WPS-PIN angreifbar. Bei dem Hitron-Modell wird die voreingestellte WPS-PIN einfach von der MAC-Adresse des WLAN-Schnittstelle abgeleitet. Und die MAC-Adresse ist kein Geheimnis: Jeder in Funkreichweite kann sie sehen und daraus mit einem öffentlich bekannten Algorithmus die WPS-PIN berechnen. "Berechnen" ist hier durchaus wörtlich zu nehmen, da man die notwendigen Rechenschritte mit einem handelsüblichen Taschenrechner durchführen kann.

Angriff mit Feenstaub

Beide Router sind zudem für den sogenannten Pixiedust-Angriff anfällig, durch den ein Angreifer ebenfalls die WPS-PIN und somit auch das WLAN-Passwort erfährt. Pixiedust ist bereits seit Ende 2014 öffentlich dokumentiert. Der Angriff ist etwas komplexer und beruht darauf, dass die Router schlechte Zufallszahlen in einem kritischen Schritt des WPS-PIN-Verfahrens einsetzen. Ein Angreifer kann die Router mühelos mit frei verfügbaren Tools attackieren, welche den Angriff weitgehend automatisieren.

Potenziell betroffen sind nach Einschätzung von c't alle Kunden des Providers, welche die betroffenen Router einsetzen und zudem die WLAN-Funktion der Geräte kostenpflichtig vom Provider freischalten lassen haben (2 Euro monatlich). Vodafone bestätigte gegenüber c't die "theoretische Schwachstelle", behauptet aber, dass lediglich Kunden betroffen sind, welche die WPS-PIN-Funktion aktiv genutzt haben – weniger als 1000 in ganz Deutschland. Im Rahmen der c't-Recherche zeigte sich jedoch, dass anscheinend alle Router der beiden Typen anfällig sind, sobald die WLAN-Option beim Provider gebucht wurde. Laut Vodafone ließen weit über eine Million Kunden die WLAN-Schnittstelle der Zwangsrouter kostenpflichtig freischalten.

Techniker ist informiert

Vodafone hat bei den Router-Herstellern Firmware-Updates eingefordert, welche die Sicherheitsprobleme durch das Abschalten der verwundbaren Funktion beseitigen sollen. Das Unternehmen hat nach eigenen Angaben bereits damit begonnen, die Updates zu verteilen. Bis Jahresende sollen 1,3 Millionen Router mit der abgesicherten Firmware versorgt sein. Kunden mit CBN-Routern können selbst aktiv werden, indem sie das anfällige WPS-Verfahren im Web-Interface deaktivieren ("Gateway" / "WLAN" / "WPS"). Beim CVE-30360 hilft laut Vodafone das Aktivieren der Push-Button-Methode (PBC).

Dass der Router bereits auf dem neuen Firmware-Stand ist, soll man daran erkennen können, dass im Web-Interface nicht länger die WPS-PIN-Funktion angeboten wird. Wer auf Nummer sicher gehen will, verzichtet auf die WLAN-Option und betreibt hinter der Provider-Hardware einen eigenen Access-Point – das spart langfristig auch noch Geld.

Quelle : www.heise.de

[SiLæncer]

Viele WLAN-Router nutzen für WPS schlechte Zufallszahlen und sind somit für die so genannte Pixiedust-Lücke anfällig. Über die können sich Angreifer das WLAN-Passwort und somit Zugang zum eigentlich gesicherten Heimnetz verschaffen. Da es keine zuverlässigen Listen anfälliger Geräte gibt, kann man sich letztlich nur durch einen Angriff auf den eigenen Router Gewissheit verschaffen, ob der womöglich anfällig ist.

Der c't-Artikel Risiko WPS beschreibt das vereinfachte WiFi Protected Setup (WPS) und dessen Schwächen en Detail. Die dort erklärte Sicherheitslücke Pixiedust – zu deutsch Feenstaub – betrifft nur das WPS-PIN-Verfahren. Wenn Sie das im Router abschalten, werden die im folgenden beschriebenen Angriffe ins Leere laufen. Sie können das beispielsweise über die Android-APP "Wifi Connection Manager" überprüfen: Taucht dort bei Ihrem Netzwerk neben "WPA/WPA2" auch "WPS" auf, so ist auf ihrem Router WPS aktiv und Ihr Router ist ein potentielles Opfer. Ist hingegen nichts von WPS zu sehen, so bedeutet das Entwarnung.

Ein konkreter Pixiedust-Angriff erfordert eine WLAN-Karte im sogenannten Monitor-Mode. In dem kann man WLAN-Verkehr mitschneiden und auch beliebige eigene Datenpakete versenden. Unter Windows bieten WLAN-Treiber diesen Low-Level-Zugriff nicht, mit Linux ist das aber mit kompatibler Hardware möglich. Wer bereits eine Linux-Distribution installiert hat und mit Monitor-Mode vertraut ist, braucht sich nur die Programme Reaver (t6x-mod) und pixiewps zu installieren.

Der ganze Artikel

Quelle : www.heise.de