PC-Ecke > # Security Center
Angreifbare NAS´s, Router, Modems & Accesspoints ...
SiLæncer:
Ein Fehler in populären DSL-Routern der Firma D-Link ermöglicht es, die Authentifizierung zu umgehen. Damit erhält ein Angreifer ohne Passwort vollen Zugriff auf das Gerät -- unter Umständen sogar aus dem Internet. Betroffen sind die Modelle DSL-502T, DSL-504T, DSL-562T sowie DSL-G604T mit diversen Firmware-Versionen, weitere Modelle können jedoch ebenfalls anfällig sein.
Die Router bieten im Geräte-Setup unter dem Menü "Advanced" die Option "Remote Access", um eine Fernwartung der Geräte per Web über das Internet zuzulassen. Hierfür muss üblicherweise ein Login über Username und Passwort stattfinden. Ist die Option aktiviert (die Werkseinstellung sollte "Disabled" sein), so ist mit dem Aufruf der Router-Seite /cgi-bin/firmwarecfg im Browser ohne den Login-Prozess ein vollständiger Zugriff möglich.
Dies reicht vom Herunterladen der XML-Konfigurationsdatei, die unter anderem die User-Accounts und die zugehörigen Passwörter enthält, bis hin zum Einspielen einer neuen, möglicherweise manipulierten Firmware. Dies ist umso schwerwiegender, da die Firmware einiger D-Link-Modelle als Open Source verfügbar ist und sich problemlos Backdoors einprogrammieren lassen.
Möglich ist diese Lücke dadurch, dass der Router bei Aufruf des oben genannten Skriptes die Datei fw_ip im Verzeichnis /var/tmp sucht. IP-Adressen, die in dieser Datei aufgeführt sind, bekommen Vollzugriff auf den Router. Ist die Datei jedoch noch nicht vorhanden, generiert das Skript diese Datei und schreibt die Adresse des aufrufenden Rechners hinein.
D-Link hat zwar eine neue Firmware zum Beseitigen der Lücke herausgegeben, allerdings zeigte sich in Tests, dass der Fehler immer noch auftritt. Als Workaround empfiehlt sich, entweder die Fernwartung in der Konfiguration nicht zuzulassen oder aber händisch die versteckte Seite http://router-ip/cgi-bin/firmwarecfg aus dem internen Netz aufzurufen. Dabei wird die Konfigurationsdatei für die Zugriffsberechtigung mit Adressen aus dem hoffentlich sicheren lokalen Netz gefüllt.
Quelle und Links : http://www.heise.de/newsticker/meldung/59740
SiLæncer:
Von den Lübecker Stadtwerken an ihre TraveDSL-Kunden herausgegebe Router verfügen standardmäßig über einen aus dem Internet erreichbaren Zugang für die Fernwartung, der sich nicht deaktivieren lässt. Bei den betroffenen Geräten handelt es sich um das ältere Modell Siemens Santis ADSL 200 mit eingebautem ADSL-Modem aus dem Jahr 2001, für das der Hersteller offenbar keinen Support mehr bietet. Auf diesem kann ein Angreifer aus dem Internet mit dem voreingestellten Standard-Passwort beispielsweise HTTP-Anfragen auf manipulierte Server umleiten oder Zugriff auf das interne Netzwerk erlangen.
Wie in diversen DSL-Foren zu erfahren ist, ist das Problem mit der aus dem Internet erreichbaren Fernwartung per Telnet und HTTP schon seit 2004 bekannt. Als vorläufiger Workaround wird vorgeschlagen, die Ports 23 und 80 für Zugriffe aus dem Internet an eine nicht existente IP-Adresse weiterzuleiten. Zwar bieten die Lübecker Stadtwerke für TraveDSL-Kunden zur Behebung der Lücke seit November vergangenen Jahres ein Firmware-Update und haben ihre Kunden darauf in einer E-Mail hingewiesen, doch nach Recherchen von heise Security sind noch immer viele TraveDSL-Router über den Telnet-Port erreichbar. TraveDSL-Kunden mit Santis-Router sollten umgehend das Update einspielen.
Derzeit ist unklar, ob aktuell an TraveDSL-Kunden ausgegebene Router-Modelle die Sicherheitslücke ebenfalls aufweisen oder ob notwendige Upgrades bereits eingespielt wurden. Der Pressesprecher der Lübecker Stadtwerke stand für Rückfragen leider nicht zur Verfügung.
Quelle und Links : http://www.heise.de/security/news/meldung/68997
SiLæncer:
Die Stadtwerke Lübeck arbeitet derzeit aktiv an der Behebung des Problems. Nach Auskunft des Pressesprechers will der Provider in der kommenden Woche alle betroffenen Kunden, die sich durch einen Portscan ermitteln lassen, telefonisch und per Briefpost benachrichtigen und diesen gegebenenfalls Hilfestellung bei dem Firmware-Upgrade bieten.
Bis Ende vergangenen Jahres wurde versucht, dem Problem mit der Sperrung der betroffenen Ports beizukommen. Da TraveDSL-Neukunden seit Anfang vergangenen Jahres Router eines anderen Herstellers erhalten, die den Fehler nicht enthalten, entwickelte sich diese Maßnahme für einen immer größeren Teil der Kunden zum Hindernis. Dem seit November auf der Homepage geschalteten Aufruf, das notwendig Update durchzuführen, sind bislang rund 80 Prozent der betroffenen Kunden gefolgt.
Quelle : www.heise.de
SiLæncer:
Mehrere Router der Firma D-Link sind anfällig für einen Denial-of-Service, den Angreifer aus dem Netz ausführen könnten. Mit präparierten Paketen kommen die betroffenen Geräte nicht zurecht und starten neu, möglicherweise lässt sich so aber auch Code einschleusen und zur Ausführung bringen.
Der Entdecker der Schwachstelle, Aaron Portnoy, hat seiner Sicherheitsmeldung zufolge weitere Recherchen aufgegeben und seine Ergebnisse jetzt veröffentlicht, da D-Link aktuelle Firmware-Versionen herausgegeben hätte, die den Fehler nicht mehr aufwiesen. Dies scheint nur für einige Modelle zu gelten, wie ein kurzer Test des Demo-Exploits bei heise Security zeigt.
Die Wireless-Router DI-524, DI-624, DI-784 sowie das US Robotics USR8054 kommen laut Portnoy beim Verarbeiten einer Serie von drei präparierten fragmentierten UDP-Paketen ins Stolpern. Die Geräte kappen daraufhin alle aktiven Verbindungen und starten nach etwa 30 Sekunden bis zu einer Minute neu.
Getestet wurde der Demo-Exploit gegen einen DI-624-Wireless-Router mit der Firmware 2.70 vom Ende Juli vergangenen Jahres, aber auch mit der aktuellen Firmware 2.57 von der deutschen D-Link-Seite mit dem Datum 17. November 2005. Mit beiden Versionen konnte heise Security das Problem nachvollziehen – der Router startete neu. Bisher scheint keine neuere Firmware für den Router verfügbar, sodass die Lücke dort nach wie vor besteht. Betroffene Anwender sollten sich nach einer aktualisierten Firmware für ihren Router auf der Herstellerseite umsehen beziehungsweise beim Support eine fehlerbereinigte Version anfordern.
Siehe dazu auch:
* D-Link Fragmented UDP Denial of Service Vulnerability von Aaron Portnoy
Quelle und Links : http://www.heise.de/security/news/meldung/69575
SiLæncer:
Der Sicherheitspezialist Symantec warnt mit einem Blog-Eintrag vor Angriffen auf Router mit Default-Passwörtern. Durch Umbiegen des DNS-Server-Eintrags sei es einem Angreifer unter Umständen möglich, den Internet-Verkehr seiner Opfer über sich umzuleiten. Durch dieses sogenannte Pharming könnte er vertrauliche Daten der Anwender ausspionieren oder unter falscher Fahne Schadsoftware auf Heim-PCs einschleusen. Dabei bezieht sich der AV-Hersteller auf eine wissenschafliche Arbeit mit dem Titel "Drive-by Pharming" von Sid Stamm und Markus Jakobsson von der Universität von Indiana sowie Zulfikar Ramzan von Symantec, die im Dezember des Vorjahres veröffentlicht wurde.
Die Wissenschaftler beschreiben, dass und wie eine bösartige Web-Seite den internen Router des Heimnetzes durch eine Kombination von Java-Applets und JavaScript aufspüren und auch das Modell identifizieren könnte. Viele liessen sich dann schon mit einfachsten Mitteln, sprich Default-Passwörtern und HTTP-Zugriffen auf das Web-Interface, umkonfigurieren. Bei einem D-Link-Router könnte das so aussehen, dass die Web-Seite folgenden Code einbettet
<script src="http://192.168.0.1/h_wan_dhcp.cgi?dns1=69.6.6.6">
der die IP-Adresse 69.6.6.6 als DNS-Server einträgt, der dann via DHCP an alle Clients im lokalen Netz übertragen wird. Diese würden dann den DNS-Server 69.6.6.6 beispielsweise nach der IP-Adresse für www.heise.de fragen und erhielten als Antwort womöglich etwas wie 217.111.81.80.
Die Wissenschaftler empfehlen neben dem offensichtlichen Ändern des Default-Passwortes im Router auch allgemeine Maßnahmen, um sich gegen browserseitige Angriffe aus dem internen Netz und gegen Pharming zu schützen. Zu einen schlagen sie vor, möglichst auf digital signierte Java-Applets umzusatteln und für nicht signierte, "untrusted" Applets strenge Restriktionen beim Zugriff auf das Netzwerk einzuführen. Außerdem könnten ihren Ausführungen zufolge auch die Internetanbieter gegen Pharming-Angriffe vorgehen, indem sie DNS-Verkehr ausschließlich zu den eigenen Name-Servern erlauben.
Siehe dazu auch:
* Technical Report TR641: Drive-By Pharming, Whitepaper von Stamm, Ramzan und Jakobsson
* "Pharming" hilft beim Phishing, Meldung auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/85452
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln