-
Ein Fehler in populären DSL-Routern der Firma D-Link ermöglicht es, die Authentifizierung zu umgehen. Damit erhält ein Angreifer ohne Passwort vollen Zugriff auf das Gerät -- unter Umständen sogar aus dem Internet. Betroffen sind die Modelle DSL-502T, DSL-504T, DSL-562T sowie DSL-G604T mit diversen Firmware-Versionen, weitere Modelle können jedoch ebenfalls anfällig sein.
Die Router bieten im Geräte-Setup unter dem Menü "Advanced" die Option "Remote Access", um eine Fernwartung der Geräte per Web über das Internet zuzulassen. Hierfür muss üblicherweise ein Login über Username und Passwort stattfinden. Ist die Option aktiviert (die Werkseinstellung sollte "Disabled" sein), so ist mit dem Aufruf der Router-Seite /cgi-bin/firmwarecfg im Browser ohne den Login-Prozess ein vollständiger Zugriff möglich.
Dies reicht vom Herunterladen der XML-Konfigurationsdatei, die unter anderem die User-Accounts und die zugehörigen Passwörter enthält, bis hin zum Einspielen einer neuen, möglicherweise manipulierten Firmware. Dies ist umso schwerwiegender, da die Firmware einiger D-Link-Modelle als Open Source verfügbar ist und sich problemlos Backdoors einprogrammieren lassen.
Möglich ist diese Lücke dadurch, dass der Router bei Aufruf des oben genannten Skriptes die Datei fw_ip im Verzeichnis /var/tmp sucht. IP-Adressen, die in dieser Datei aufgeführt sind, bekommen Vollzugriff auf den Router. Ist die Datei jedoch noch nicht vorhanden, generiert das Skript diese Datei und schreibt die Adresse des aufrufenden Rechners hinein.
D-Link hat zwar eine neue Firmware zum Beseitigen der Lücke herausgegeben, allerdings zeigte sich in Tests, dass der Fehler immer noch auftritt. Als Workaround empfiehlt sich, entweder die Fernwartung in der Konfiguration nicht zuzulassen oder aber händisch die versteckte Seite http://router-ip/cgi-bin/firmwarecfg aus dem internen Netz aufzurufen. Dabei wird die Konfigurationsdatei für die Zugriffsberechtigung mit Adressen aus dem hoffentlich sicheren lokalen Netz gefüllt.
Quelle und Links : http://www.heise.de/newsticker/meldung/59740
-
Von den Lübecker Stadtwerken an ihre TraveDSL-Kunden herausgegebe Router verfügen standardmäßig über einen aus dem Internet erreichbaren Zugang für die Fernwartung, der sich nicht deaktivieren lässt. Bei den betroffenen Geräten handelt es sich um das ältere Modell Siemens Santis ADSL 200 mit eingebautem ADSL-Modem aus dem Jahr 2001, für das der Hersteller offenbar keinen Support mehr bietet. Auf diesem kann ein Angreifer aus dem Internet mit dem voreingestellten Standard-Passwort beispielsweise HTTP-Anfragen auf manipulierte Server umleiten oder Zugriff auf das interne Netzwerk erlangen.
Wie in diversen DSL-Foren zu erfahren ist, ist das Problem mit der aus dem Internet erreichbaren Fernwartung per Telnet und HTTP schon seit 2004 bekannt. Als vorläufiger Workaround wird vorgeschlagen, die Ports 23 und 80 für Zugriffe aus dem Internet an eine nicht existente IP-Adresse weiterzuleiten. Zwar bieten die Lübecker Stadtwerke für TraveDSL-Kunden zur Behebung der Lücke seit November vergangenen Jahres ein Firmware-Update und haben ihre Kunden darauf in einer E-Mail hingewiesen, doch nach Recherchen von heise Security sind noch immer viele TraveDSL-Router über den Telnet-Port erreichbar. TraveDSL-Kunden mit Santis-Router sollten umgehend das Update einspielen.
Derzeit ist unklar, ob aktuell an TraveDSL-Kunden ausgegebene Router-Modelle die Sicherheitslücke ebenfalls aufweisen oder ob notwendige Upgrades bereits eingespielt wurden. Der Pressesprecher der Lübecker Stadtwerke stand für Rückfragen leider nicht zur Verfügung.
Quelle und Links : http://www.heise.de/security/news/meldung/68997
-
Die Stadtwerke Lübeck arbeitet derzeit aktiv an der Behebung des Problems. Nach Auskunft des Pressesprechers will der Provider in der kommenden Woche alle betroffenen Kunden, die sich durch einen Portscan ermitteln lassen, telefonisch und per Briefpost benachrichtigen und diesen gegebenenfalls Hilfestellung bei dem Firmware-Upgrade bieten.
Bis Ende vergangenen Jahres wurde versucht, dem Problem mit der Sperrung der betroffenen Ports beizukommen. Da TraveDSL-Neukunden seit Anfang vergangenen Jahres Router eines anderen Herstellers erhalten, die den Fehler nicht enthalten, entwickelte sich diese Maßnahme für einen immer größeren Teil der Kunden zum Hindernis. Dem seit November auf der Homepage geschalteten Aufruf, das notwendig Update durchzuführen, sind bislang rund 80 Prozent der betroffenen Kunden gefolgt.
Quelle : www.heise.de
-
Mehrere Router der Firma D-Link sind anfällig für einen Denial-of-Service, den Angreifer aus dem Netz ausführen könnten. Mit präparierten Paketen kommen die betroffenen Geräte nicht zurecht und starten neu, möglicherweise lässt sich so aber auch Code einschleusen und zur Ausführung bringen.
Der Entdecker der Schwachstelle, Aaron Portnoy, hat seiner Sicherheitsmeldung zufolge weitere Recherchen aufgegeben und seine Ergebnisse jetzt veröffentlicht, da D-Link aktuelle Firmware-Versionen herausgegeben hätte, die den Fehler nicht mehr aufwiesen. Dies scheint nur für einige Modelle zu gelten, wie ein kurzer Test des Demo-Exploits bei heise Security zeigt.
Die Wireless-Router DI-524, DI-624, DI-784 sowie das US Robotics USR8054 kommen laut Portnoy beim Verarbeiten einer Serie von drei präparierten fragmentierten UDP-Paketen ins Stolpern. Die Geräte kappen daraufhin alle aktiven Verbindungen und starten nach etwa 30 Sekunden bis zu einer Minute neu.
Getestet wurde der Demo-Exploit gegen einen DI-624-Wireless-Router mit der Firmware 2.70 vom Ende Juli vergangenen Jahres, aber auch mit der aktuellen Firmware 2.57 von der deutschen D-Link-Seite mit dem Datum 17. November 2005. Mit beiden Versionen konnte heise Security das Problem nachvollziehen – der Router startete neu. Bisher scheint keine neuere Firmware für den Router verfügbar, sodass die Lücke dort nach wie vor besteht. Betroffene Anwender sollten sich nach einer aktualisierten Firmware für ihren Router auf der Herstellerseite umsehen beziehungsweise beim Support eine fehlerbereinigte Version anfordern.
Siehe dazu auch:
* D-Link Fragmented UDP Denial of Service Vulnerability von Aaron Portnoy
Quelle und Links : http://www.heise.de/security/news/meldung/69575
-
Der Sicherheitspezialist Symantec warnt mit einem Blog-Eintrag vor Angriffen auf Router mit Default-Passwörtern. Durch Umbiegen des DNS-Server-Eintrags sei es einem Angreifer unter Umständen möglich, den Internet-Verkehr seiner Opfer über sich umzuleiten. Durch dieses sogenannte Pharming könnte er vertrauliche Daten der Anwender ausspionieren oder unter falscher Fahne Schadsoftware auf Heim-PCs einschleusen. Dabei bezieht sich der AV-Hersteller auf eine wissenschafliche Arbeit mit dem Titel "Drive-by Pharming" von Sid Stamm und Markus Jakobsson von der Universität von Indiana sowie Zulfikar Ramzan von Symantec, die im Dezember des Vorjahres veröffentlicht wurde.
Die Wissenschaftler beschreiben, dass und wie eine bösartige Web-Seite den internen Router des Heimnetzes durch eine Kombination von Java-Applets und JavaScript aufspüren und auch das Modell identifizieren könnte. Viele liessen sich dann schon mit einfachsten Mitteln, sprich Default-Passwörtern und HTTP-Zugriffen auf das Web-Interface, umkonfigurieren. Bei einem D-Link-Router könnte das so aussehen, dass die Web-Seite folgenden Code einbettet
<script src="http://192.168.0.1/h_wan_dhcp.cgi?dns1=69.6.6.6">
der die IP-Adresse 69.6.6.6 als DNS-Server einträgt, der dann via DHCP an alle Clients im lokalen Netz übertragen wird. Diese würden dann den DNS-Server 69.6.6.6 beispielsweise nach der IP-Adresse für www.heise.de fragen und erhielten als Antwort womöglich etwas wie 217.111.81.80.
Die Wissenschaftler empfehlen neben dem offensichtlichen Ändern des Default-Passwortes im Router auch allgemeine Maßnahmen, um sich gegen browserseitige Angriffe aus dem internen Netz und gegen Pharming zu schützen. Zu einen schlagen sie vor, möglichst auf digital signierte Java-Applets umzusatteln und für nicht signierte, "untrusted" Applets strenge Restriktionen beim Zugriff auf das Netzwerk einzuführen. Außerdem könnten ihren Ausführungen zufolge auch die Internetanbieter gegen Pharming-Angriffe vorgehen, indem sie DNS-Verkehr ausschließlich zu den eigenen Name-Servern erlauben.
Siehe dazu auch:
* Technical Report TR641: Drive-By Pharming, Whitepaper von Stamm, Ramzan und Jakobsson
* "Pharming" hilft beim Phishing, Meldung auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/85452
-
Eine Schwachstelle im beliebten Linksys-Router WRT54GL verdeutlicht einmal mehr, wie Session Riding beziehungsweise Cross Site Request Forgery (CSRF) funktioniert. Mit einem einzigen präparierten Link in einer Webseite kann es ein Angreifer schaffen, die Firewall von außen zu deaktivieren. Andere Konfigurationsänderungen sind ebenfalls möglich.
Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Dies kommt aber nicht unbedingt selten vor, viele Anwender suchen oft nach Konfigurationsanleitungen zu bestimmten Punkten des Gerätes im Internet und sind dabei gleichzeitig am Router angemeldet. Enthält die Seite dann einen Link wie:
https://192.168.1.1/apply.cgi?submit_button=Firewall&change_action=&action=Apply&block_wan=1&
block_loopback=0&multicast_pass=0&ident_pass=0&block_cookie=0&block_java=0&
block_proxy=0&block_activex=0&filter=off&_block_wan=1&_block_multicast=0&_ident_pass=1
ist es um die Sicherheit geschehen (vorausgesetzt die Standard-IP-Adresse wurde beibehalten).
Die Ursache des Problems ist die implizite Authentifizierung durch den Cookie. Betroffen ist laut Fehlerbericht auf der Sicherheitsmailing-Liste Bugtraq die Firmware-Version 4.30.9. Der Hersteller wurde zwar am 14. August 2007 informiert, eine Lösung des Problems gibt es jedoch noch nicht. Cisco, zu dem Linksys seit 2003 gehört, soll allerdings an einem Update arbeiten. Anwender sollten bis dahin der Empfehlung folgen und während der Routerkonfiguration keine weiteren Seiten aufrufen. Ein anderes Beispiel für Session Riding lieferte zuletzt Google Mail.
Der WRT54GL ist die Nachfolgeversion des WRT54G, die wieder auf Linux beruht. Im WRT54G hatte der Hersteller zwischenzeitlich auf VxWorks als Betriebssystem umgestellt.
Siehe dazu auch:
* Linksys WRT54 GL - Session riding (CSRF), Fehlerbericht von Tomaz Bratusa -> http://archives.neohapsis.com/archives/bugtraq/2008-01/0063.html
Quelle : www.heise.de
-
Dass Universal Plug and Play (UPnP) auf Routern zu Sicherheitsproblemen führen kann, ist seit Längerem bekannt: Ohne Authentifizierung kann jeder Client aus dem LAN heraus beispielsweise Port-Forwarding aktivieren und so die Firewall durchbohren. Unter Umständen kann aber auch ein Angreifer von Außen den Router umkonfigurieren, wie die Sicherheitsspezialisten Petko Petkov und Adrian Pastor auf der Seite GNUCitizen berichten. Dazu bedarf es allerdings einer Cross-Site-Scripting-Schwachstelle im Authentifizierungsdialog des Routers, was aber nach Einschätzung der beiden nicht allzu selten vorkommt. Darüber ist es dem Bericht zufolge möglich, JavaScript im Browser im Kontext des Routers auszuführen und via XMLHttRequests mit der UPnP-API respektive dem SOAP-Interface des Routers zu kommunizieren.
Mit dem JavaScript lassen sich nicht nur Ports freischalten, je nach Router-Modell ist es möglich, weitere Konfigurationen zu ändern. Üblicherweise liefert ein Router mit UPnP-Unterstützung auf Anfrage sogar eine Antwort zurück, welche Dienste sich bei ihm via UPnP steuern lassen. Schlimmstenfalls lässt sich sogar die IP-Adresse des DNS-Server (SetDNSServer) manipulieren, um so Anfragen auf einen manipulierten Nameserver umzuleiten und gefälschte Adressen zurückzuliefern. Ein Opfer könnte so auf Phishing-Seiten landen, ohne es zu merken.
Bei den betroffenen Modellen handelt es sich dem Bericht nach um die im UK verbreiteten Router Speedtouch von Thomson und den BT Home Hub. Für einen erfolgreichen Angriff muss das Opfer aber, wie immer bei Cross-Site-Scripting, auf irgendeinen Link auf einer Webseite eines Angreifers klicken und auf dem Gerät muss UPnP aktiviert sein. Standardmäßig ist das bei zahlreichen Routern der Fall.
Tools wie NoScript schützen üblicherweise vor Angriffen mit schädlichem JavaScript. Petkov zeigt in seinem Bericht aber, wie sich Router auch über ActionScript in Flash-Applets umkonfigurieren lassen. Damit lassen sich JavaScript-Filter einfach umgehen. ActionScript-Filter gibt es bislang nicht, da dazu in Echtzeit das Flash-Applet dekompiliert werden müsste. Anwender sollten auf ihren Routern sicherheitshalber die UPnP-Funktion deaktivieren.
Quelle : http://www.heise.de
-
Man-in-the-Middle ist out, Man-in-the Router ist in. Musste man sich in den vergangenen Jahren nur selten Gedanken über die Sicherheit seines Routers machen, so häufen sich in den letzten Wochen Meldungen über Schwachstellen darin. Nun berichtet Symantec in seinem Blog sogar über erfolgreiche Angriffe auf die Router mexikanischer Internet-Anwender, denen mittels eines simplen eingebetteten GET-Requests in einer präparierten Webseite die Namensauflösung verbogen wurde. Die Angreifer nutzten quasi den Browser des Anwenders, um den Router "über Bande" umzukonfigurieren. Auf die präparierte Seite lockte eine E-Mail-Benachrichtigung über eine E-Card.
In der Folge der Änderung löste der Router eine Namensanfrage an eine bekannte mexikanische Bank mit der IP-Adresse einer Phishing-Seite auf. [Update] Dabei machten sich die Phisher offenbar zunutze, dass die Änderung auf den Routern ohne Angabe des Passworts möglich war. Wie viele Anwender Opfer der Phisher wurden, ist nicht bekannt. Nicht immer funktioniert ein Angriff ohne Passwort, aber es gibt genüg Lücken bei denen es ohne funktioniert. [/Update]
Erst vergangene Woche wurden Schwachstellen in Routern bekannt, die hauptsächlich in Großbritannien verbreitet sind. Dabei lässt sich eine Cross-Site-Scripting-Lücke im Login-Dialog ausnutzen, um den Router über seine UPnP-Schnittstelle umzukonfigurieren – und UPnP verzichtet dabei auf jegliche Authentifizierung. Berichten zufolge soll der Angriff auf UPnP-Router auch ohne XSS-Lücke funktionieren. Dabei sollen spezielle Flash-Applets mittels ActionScript ebenfalls in der Lage sein, Router umzukonfigurieren, bei denen UPnP aktiviert ist.
Zuvor war bereits ein Schwachstelle im beliebten Linksys-Router WRT54GL bekannt geworden, die das Problem des seit drei Jahren bekannten Session Riding beziehungsweise Cross Site Request Forgery (CSRF) verdeutlichte. Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Neben dem Abschalten der Firewall ist denkbar, dass der Angreifer die WLAN-Verschlüsselung abschaltet. Ein Posting auf Bugtraq zufolge soll dies bei dem Modell Alice Gate 2 Plus WiFi mit folgender URL ohne Authentifizierung funktionieren.
http://192.168.1.1/cp06_wifi_m_nocifr.cgi?wlChannel=Auto&wlRadioEnable=on
Dabei kann der Link in einer Mail, einer Webseite oder einer Chat-Nachricht steckten.
Anwender sollten sich künftig mehr Gedanken über die Sicherheit ihrer Router machen. Das Argument, dass der Router ja nicht von außen erreichbar und somit kein unbefugter Zugriff möglich sei, lässt sich so nicht mehr aufrechterhalten. Grundsätzlich sollte man das Standardpasswort sofort nach der Inbetriebnahme auf ein nicht leicht zu erratendes Kennwort ändern. Bei Routern mit UPnP-Funktion sollte sich der Anwender fragen, ob er diese Funktion überhaupt benötigt und sie lieber deaktivieren.
Außerdem ist es ratsam, statt des vordefinierten Subnetzes (oftmals 192.168.1.0) auf ein anderes zu wechseln (etwa 192.168.23.0), um üblichen Angriffen aus dem Weg zu gehen. Zur Wahl stehen dabei die Netze 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8 (eine Liste aller reservierten Adress-Blöcke ist hier zu finden: Special-Use IPv4 Addresses (RFC 3330). Zudem hebt man die Latte ein wenig höher, wenn der Router nicht unter .1 zu finden ist, sondern beispielsweise unter .42. Sofern der Router alle notwendigen Daten per DHCP im Netz verteilt, sollte auf den Clients keine Umkonfiguration notwendig sein.
Quelle : http://www.heise.de/security/news/meldung/102281/Erste-aktive-Angriffe-auf-DSL-Router-Update--
-
Rund hunderttausend Router soll Psybot unter seine Kontrolle gebracht und zu einem Bot-Netz zusammengeschlossen haben. Das berichtet der Betreiber der Web-Site DroneBL, der nach eigenen Aussagen Ziel von DDoS-Angriffen dieses Bot-Netzes wurde.
Ein Bot-Netz, das vor allem aus Routern besteht, fällt aus dem Rahmen. Normalerweise werden vor allem PCs mit Windows versklavt, um als Zombies zu dienen. Psybot hat sich hingegen anscheinend auf kleine Netzwerk-Router für Heimanwender spezialisiert, auf denen ein Embedded Linux für MIPS-CPUs läuft.
(http://www.heise.de/bilder/134992/0/0)
Laut einer Beschreibung von Terry Baume steht vor allem der Netcomm NB5 auf der Liste der bevorzugten Ziele. In einer älteren Version des DSL-Modems mit Router-Funktion war dort laut Baume unter anderem das Web-Interface und ein SSH-Zugang aus dem Internet erreichbar – und das auch noch ohne Passwort. Das wurde zwar mit einem späteren Firmware-Update behoben, aber ob das dann wirklich überall eingespielt wurde, ist fraglich.
Einmal im System, lud der Bot eine Datei namens udhcpc.env nach /var/tmp und startete sie. Bei dem Programm handelt es sich um ein MIPSel-Binary für Linux; der Name lehnt sich an die auf Embedded Systemen oft eingesetzte DHCP-Software udhcp an. Psybot konnte dann auch nach Systemen mit speziellen verwundbaren Versionen von phpMyAdmin und MySQL suchen, um diese zu kapern.
Mittlerweile hat der Bot-Netz-Betreiber nach eigenen Aussagen seine Aktivitäten eingestellt – jedenfalls behauptet er das in der Status-Meldung des IRC-Channels, über den die Bots kontrolliert wurden. Nach eigenen Aussagen hatte er 80.000 Systeme unter seiner Kontrolle; DroneBL schätzte sogar hunderttausend. Auch wenn diese Angabe mit Vorsicht zu genießen sind, zeigt Psybot doch, dass das Problem von Bot-Netzen keineswegs nur auf Windows beschränkt ist.
Quelle : www.heise.de
-
Cross Site Request Forgery als Angriffsvektor wurde lange unterschätzt. Doch jetzt ist es unserer Schwesterpublikation TecChannel gelungen, über einfache CSRF-Attacken DSL-Router von A wie AVM Fritz!Box bis Z wie ZyXEL über das Internet von außen anzugreifen. Surft man mit dem PC auf eine manipulierte Website, kann die komplette Konfiguration der DSL-Router unbemerkt modifiziert werden.
Bislang gelten Cross Site Scripting und Injection-Angriffe als Haupteinfallsvektor für erfolgreiche Attacken auf Web-Server. Doch in der aktuellen Liste der gefährlichsten Fehler, die regelmäßig von der OWASP (Open Web Application Security Project) herausgegeben wird, hat sich Cross Site Request Forgery (CSRF) inzwischen auf Platz fünf hochgearbeitet.
Wie gefährlich dieser bislang unterschätzte Angriffsweg tatsächlich ist, zeigen aktuelle Sicherheitstests unserer Schwesterpublikation TecChannel. Über CSRF-Attacken ist es den Kollegen gelungen, die Konfiguration der AVM Fritz!Box, des Cisco/Linksys WAG 160 N und eines ZyXEL P-660HW beliebig zu modifizieren. Aber auch die meisten anderen DSL-Router dürften gefährdet sein.
Für den Angriff genügt es, dass der Anwender eine präparierte Website besucht. Diese kann dann alle Konfigurationsarameter, die über die Web-Oberfläche des DSL-Routers zu erreichen sind, beliebig ändern. Ein Besuch einer manipulierten Seite, und alle Telefonate laufen beispielsweise über eine teure 0900er-Vorwahl.
Der Passwortschutz der Router erwies sich dabei als nicht ausreichend und kann umgangen werden. Welches Gefahrenpotenzial sonst noch in dem CSRF-Angriff steckt und was man gegen die Attacken auf die DSL-Router unternehmen kann, lesen Sie im Beitrag Millionen DSL-Router hochgradig gefährdet (http://www.tecchannel.de/1993878).
Quelle : www.pcwelt.de
-
Da sich in letzter Zeit die Angriffe gegen D-Link Router gehäuft haben, greift das Unternehmen zu neuen Maßnahmen. Das Stichwort lautet "Captcha".
Malware hat in letzter Zeit verstärkt Jagd auf die Systeme der D-Link-Netzwerkgeräte gemacht. Unter Umständen wäre es denkbar, dass die verbreiteten Trojanischen Pferde die Einstellungen der Router verändern. Den Sicherheitsexperten zufolge ist es sogar möglich, den gesamten Netzverkehr in ein anderes Netzwerk umzuleiten.
(http://gulli.com/img/gs_d-link-captcha.jpg)
Als Abhilfe schaffendes Mittel werden nun die sogenannten "Captchas" angepriesen, die auch in verschiedensten anderen Bereichen im Internet zum Einsatz kommen. Mithilfe der Bildrätsel sollen automatische Angriffe außen vor bleiben. Schädlinge wie der "Zlob"-Trojaner würden dann vor verschlossenen Türen stehen, heißt es. Selbiger hat besonders im vorausgegangenen Kalenderjahr Aufsehen erregt. Damals hat er sich Zugriff auf die Router von Unternehmen und Privatpersonen erschlichen.Der zuständige CTO AJ Wang von D-Link ist der Meinung, dass D-Link-Router wegen ihres Designs im Allgemeinen nur sehr schwer angreifbar sind.
Die nun kommenden "Captchas" sollen diesen Aspekt zusätzlich festigen. Automatisierten Angriffen will man offenbar keine Chance mehr geben. In wiefern dies gelingen wird, muss sich erst herausstellen. Schließlich werden immer wieder "Captcha-Systeme" geknackt und den computerisierten Attacken der Weg geebnet. Das notwendige Firmware-Update gibt es auf der Webseite (http://support.dlink.com/) des Herstellers zu erstehen. Unterstützt werden die Modelle: DIR-615, DIR-625, DIR-628, DIR-655, DIR-825, DIR-855, DIR-685 und DGL-4500.
Quelle : www.gulli.com
-
Wie Michal Sajdak auf der CONFidence Mitte Mai in Krakau vortrug, gelingt es mit relativ einfachen Mitteln, beliebige Shell-Kommandos auf dem WLAN-DSL-Router WAG54G2 von Linksys auszuführen. Weitere Details dazu hat der Autor jetzt veröffentlicht.
Sajdak fand heraus, dass man auf einfache Weise ein POST-Feld um ein Shell-Kommando ergänzen kann, das der Router dann ausführt. Um das zu testen, benötigt man lediglich einen Proxy, der die POST-Variable vorm Absenden modifizieren kann. Nach eigenen Angaben hat Sajdak den Hersteller Cisco bereits im März über den Fehler informiert und von dort eine Bestätigung, jedoch noch keine Mitteilung über dessen Behebung erhalten.
Es ist derzeit nicht auszuschließen, dass auch andere Linksys-Geräte betroffen sind. Hersteller versuchen, nicht für jedes Modell das Rad neu zu erfinden und setzen auf möglichst wiederverwendbare Firmware-Teile. Beim WRT54GL fanden sich bereits vor einiger Zeit Schwachstellen, die ebenfalls sogenannte Cross-Site-Request-Forgery-Angriffe (CSRF) ermöglichten.
Ein kleiner Trost für Betroffene: Zumindest wenn man das Standardpasswort geändert hat, muss das Opfer angemeldet sein, damit das Ganze funktioniert. Die einzige Hürde ist, dass solche Angriffe normalerweise per HTTP-GET und zum Beispiel einem untergeschobenen IMG-SRC-Tag abgesetzt werden. POST wie im vorliegenden Fall erfordert normalerweise einen Klick, der sich aber mit Javascript ebenfalls automatisieren lässt.
Ein ähnlicher Bug trat vor ein paar Jahren beim beliebten WRT54G auf. Er erleichterte es, alternative Firmware zum Laufen zu bringen, obwohl trotz der Verwendung von Linux weder der Quellcode noch ein Hinweis darauf im Lieferumfang enthalten waren – unter Verletzung der GPL. Der recht neue WAG54G2 wird von OpenWRT noch nicht voll unterstützt. Besserung ist aber in Sicht, da sich Cisco und die Free Software Foundation vor Kurzem geeinigt haben.
Quelle : www.heise.de
-
Über eine Sicherheitslücke im Siemens Gigaset SE361 WLAN Router können Angreifer das Gerät nach Belieben zum Neustart zwingen. Ein Patch liegt nicht vor.
Laut einem Bericht (http://securityreason.com/securityalert/6553) von Security Reason tritt die Sicherheitslücke bei der aktuellen Version des Siemens Gigaset SE361 WLAN Router auf. Die Schwachstelle entsteht durch einen Implementierungsfehler des Dienstes auf Port TCP/1731. Wird dieser Port mit längeren Zeichensequenzen beschossen, führt dies fast unmittelbar zum Absturz und Neustart des Gigaset SE361 WLAN Router. Entsprechende Exploit Codes existieren im Internet bereits, ein Patch seitens Siemens steht jedoch noch aus.
Quelle : www.tecchannel.de
-
Samy Kamkar, der seinerzeit Aufmerksamkeit durch einen Wurm auf MySpace erregte, will eine Methode gefunden haben, um geschlossene Ports auf Hardware-Firewalls mit Hilfe einer Webseite zu öffnen.
Gegenüber The Register behauptet Samy Kamkar, dass er eine Methode gefunden habe, um bei einigen Hardware-Firewalls und Routern auf sämtliche Ports zuzugreifen - auch wenn diese konfiguriert sind, die Port zu schließen. Das Opfer wird dabei auf eine manipulierte Webseite geleitet, welche über den Port 6667 (typischerweise IRC) permanent versucht, "Direct Client-to-Client" Verbindungen herzustellen (im IRC-Kontext typischerweise für Datei-Übertragung oder private Chats benutzt). Die Router mit entsprechenden Schwachstellen würden nun sämtliche Ports von dem betreffenden Rechner offenlegen, obwohl die dies eigentlich nicht sollten. Für sein Proof-of-Concept nutze er auf der manipulierten Webseite einen Button, um den Hack in Gang zu bringen. Kamkar aber sagt auch, dass man dieses für die meisten Nutzer unsichtbar auch einfach mit Hilfe von JavaScript realisieren könnte.
Das Problem sei schwer zu lösen, da es auf die sogenannte Network Address Translation (NAT) setzt, die in den meisten Routern genutzt wird. Eine Software-Firewall auf den Client-Rechnern würde zuverlässigere Ergebnisse liefern, doch auch dort könnten diverse Ports unbeabsichtigt offenliegen. Samy Kamkar kommentierte: "Viele haben ein trügerisches Gefühl der Sicherheit und denken, 'hm, wenn ich hinter dem Router bin, kommt niemand an meine Ports'." Anstatt sich in dieser trügerischen Sicherheit zu wähnen, sollte man lieber die einzelnen Services, die über die Ports laufen, sicher konfigurieren. Für seinen Hack nutzte er der IRC-Port, da dieser bei den meisten Linux-Standardkonfigurationen ohnehin geöffnet sei. Das Verfahren würde auch über den Standard-FTP-Port funktionieren. Getestet wurde auf einem Belkin N1 Vision Wireless, doch auch andere Router könnten sehr gut von dieser Schwachstelle betroffen sein.
Quelle : www.gulli.com
-
Nach Angaben der Webseite SourceSec Security Research (http://www.sourcesec.com/) sind zahlreiche – möglicherweise sogar alle – seit 2006 angebotenen Router der Firma D-Link von einer fehlerhaften Implementierung des Home Network Administration Protocol (HNAP) betroffen. Dies können lokale und externe Angreifer ausnutzen, um Zugriff auf die Netzwerkeinstellungen zu erhalten.
Laut SourceSec haben die D-Link-Router neben dem eigentlichen Administrator-Zugang einen nicht abschaltbaren HNAP-Zugang. Dieser Administrator-Zugang per HTTP sei bei den Modellen DI-524, DIR-628 und DIR-655 nachweislich fehlerhaft und erlaube es Angreifern, die administrativen Einstellungen zu bearbeiten und in der Konsequenz den Netzwerkverkehr vollständig kontrollieren zu können.
Das SOAP-basierte HNAP sehe zwar grundsätzlich eine Autorisierung des Administrators vor, doch könne man bei einigen D-Link-Routern den SOAP-Request "GetDeviceSettings" auch ohne ausführen und so weitere unautorisierte SOAP-Anfragen an den Sicherheitsmechansimen vorbeischleusen. Bei anderen Routern der Firma gebe es diesen Fehler zwar nicht, dafür könne ein Angreifer das meist vergessene Nutzerkonto (Login: user, kein Passwort) missbrauchen. SourceSec beschreibt die Details hierzu in einem PDF (http://www.sourcesec.com/Lab/dlink_hnap_captcha.pdf); auch ein Beispiel-Exploit namens HNAP0wn findet sich auf der Webseite.
Quelle : www.heise.de
-
Laut einer Mitteilung von D-Link Deutschland stehen ab sofort Firmware-Aktualisierungen für die Router-Modelle DIR-635 (HW-Revision B), DIR-655 (HW-Revision A) und DIR-855 (HW-Revision A2) sowie für den nicht mehr lieferbaren DIR-615 (HW-Revision B1-B3) unter ftp.dlink.de zum Download bereit, die den kürzlich bekannt gewordenen Fehler im Home Network Administration Protocol (HNAP) der Geräte beheben. Außerdem arbeitet das Unternehmen an fehlerbereinigten Firmware-Versionen für die angekündigten Router-Modelle DI-634M (HW-Revision B1) und DIR-635 (HW-Revision A). Mit einer Veröffentlichung sei in den nächsten Tagen zu rechnen, versichert das Unternehmen in seiner Mitteilung.
In der vergangenen Woche wurde über die Website SourceSec bekannt, dass die Router DI-524, DIR-628, DIR-655 sowie möglicherweise weitere Modelle neben dem eigentlichen Administrator-Zugang einen nicht abschaltbaren HNAP-Zugang besitzen, der sich von Angreifern ausnutzen lässt. D-Link erachtet hingegen die Modelle DI-304, DI-524, DI-604, DI-624, DI-724GU, DI-804HV, DIR-100, DIR-300, DIR-301, DIR-320, DIR-600, DIR-615, DIR-685, DIR-825, DSL-2543B, DSL-2641B, DSL-2740B, DSL-2741B, DVA-G3342SD, DVA-G3342SB als sicher, da sie keine HNAP-Implementierung besitzen oder in Tests nicht über das Protokoll ansprechbar sind.
Quelle : www.heise.de
-
Die Router von 7000 Kunden mit VDSL-Anschlüssen der A1 Telekom Austria benötigen neue Firmware. Die ursprüngliche Version lässt Zugriffe aus dem Internet mit einem einheitlichen Passwort zu. Nicht immer erfolgt das Update automatisch.
A1 Telekom Austria (TA) stattet ihre VDSL-Kunden vorrangig mit Modems des Typs Pirelli PRGAV4202N aus. Auf diesen Geräten läuft in der ursprünglich ausgelieferten Firmwareversion (endend auf 25.5) ein SSH-Dienst, der unter dem Standardport 22 erreichbar ist. Bei Eingabe des richtigen Passworts erhält man darüber Zugriff mit Root-Rechten. Das Passwort ist bei allen diesen von der TA ausgelieferten Routern gleich. Und der Port ist nicht nur innerhalb des LANs offen, sondern auch aus dem Internet erreichbar. Somit kann jeder, der das Passwort kennt, alle betroffenen Router beliebig manipulieren.
Ein User berichtete in einem Forum auf xdsl.at darüber und postete auch Username und Passwort. Er freute sich über die zahlreichen zusätzlichen Features, die er seinem Router damit entlocken konnte. Die für Root-User zugängliche Web-Oberfläche (Screenshots) ist nämlich wesentlich reichhaltiger, als jenes, das die TA ihren Kunden normalerweise freigibt.
Wenig Freude löste die Mitteilung aber bei der TA aus, deren Rechtsabteilung die xdsl.at-Betreiber dazu veranlasste, das Diskussionsforum zu löschen. Doch der Geist war aus der Flasche. Wie weit sich die Kenntnis über das Passwort bereits verbreitet hat, ist unklar. Besitzers eines betroffenen Routers sollten jedoch auf der Hut sein.
Die TA will mit einem Update der Firmware reagieren. Das Passwort dürfte dabei zwar gleich bleiben, doch soll dann der Port 22 nicht mehr aus dem Internet erreichbar sein. Damit wird das Missbrauchspotenzial eingedämmt. Die neue Firmware soll in vielen Fällen automatisch heruntergeladen, installiert und beim nächsten Neustart des Routers geladen werden. Jene Kunden, bei denen das so nicht funktioniert, wird die TA anschreiben, um sie zur manuellen Installation der neuen Firmware zu bewegen.
Das Passwort ist durch die Auswertung der Übertragungen einer von der TA mitgelieferten Installationssoftware bekannt geworden. Das Programm stammt von der Wiener Firma mquadr.at, die auch für andere ISP tätig ist. mquadr.at hat auf eine Anfrage von heise Security nicht reagiert.
Ähnliche Probleme mit der Sicherheit von Routern, deren Konfigurationsoberfläche aus dem Internet erreichbar waren, gab es auch bereits bei der T-Com und der Swisscom. Als Workaround sperrte die T-Com seinerzeit sogar die Ports in ihren Netzen, um die Router vor Angriffen zu schützen.
Quelle : www.heise.de
-
In einer Stellungnahme betont mquadr.at, dass die Sicherheitslücke nicht durch die Software verursacht werde, sondern auf die Firmware der eingesetzten Hardware beziehungsweise des Hardwaremanagements zurückzuführen sei.
Quelle : www.heise.de
-
Bei einigen tausend Routern, die der Provider EWE TEL an seine Kunden verteilt hat, kann der Nutzer das Konfigurationspasswort nicht ändern. Doch anders als bei ähnlichen Fehlern ist die Konfigurationsoberfläche nur aus dem lokalen Netzwerk zugänglich.
Betroffen ist nach Angaben von EWE TEL eine Generation von "Multibox" genannten Geräten, die den Kunden verschiedener Triple-Play-Angebote zur Verfügung gestellt wurden. Dazu gehören die Multiboxen für die Zugänge über Glasfaser.
Auf Anfrage von heise online erklärte EWE TEL zunächst, "dies ist notwendig, um EWE TEL die umfassenden Service-/ und Wartungsdienste zu ermöglichen, die wir für unsere 3Play-Kunden leisten." Doch laut Tilgin, dem schwedischen Zulieferer der Multibox, unterstützen die Geräte unter anderem TR-069, das einen besser gesicherten Zugang bieten würde. Die Konfiguration des Routers sei vollkommen flexibel und entspreche jeweils den Anforderungen des Kunden, also des Providers, teilte Tilgin heise online mit.
Auf weitere Nachfragen erklärt EWE TEL nun, die Konfiguration sei "einer intensiven Prüfung unterzogen worden [–] mit dem Ergebnis, dass die bei den Multiboxen der ersten Generation notwendigen Zugriffsmöglichkeiten für die heutige Situation nicht mehr zwingend erforderlich sind". Man sei dabei, die Konfiguration der betroffenen Multiboxen so zu ändern, dass die Kunden das Passwort selbst setzen können.
EWE-TEL-Kunden, die bisher ihr Router-Passwort nicht ändern konnten, sollten regelmäßig prüfen, ob diese Funktion jetzt freigeschaltet ist. Dann sollten sie ein sicheres Passwort setzen, das den üblichen Regeln entspricht: Mindestens acht Zeichen, Groß- und Kleinbuchstaben gemischt mit Ziffern. Sonderzeichen und Umlaute können bei manchen Kombinationen von Browser und Betriebssystem Probleme bereiten, sodass man sie vorsichtshalber weglassen sollte.
Quelle : www.heise.de
-
Ein vom Internet-Anbieter Teleos zentral über das Fernwartungsverfahren TR-069 verteiltes Firmware-Update hat auf einigen Tilgin-Routern versehentlich die WLAN-Verschlüsselung deaktiviert. Da Anwender von derartigen Updates in der Regel nichts mitbekommen, stand bei einigen anschließend das heimische Netz sperrangelweit offen.
Aufgefallen war das Problem bereits im Februar 2010 nach dem Hinweis durch zwei Kunden. Teleos konnte den Fehler nachstellen und hat daraufhin nach eigener Aussage 500 möglicherweise betroffene Kunden telefonisch kontaktiert. Bei rund 100 Kunden sei das WLAN betriebsbereit und unverschlüsselt gewesen. Dort halfen Techniker das Problem zu lösen und die Verschlüsselung wieder zu aktivieren. Ursache des Problems sei nach Angaben von Norbert Scholz, Teleos Regionalleiter, ein fehlerhaftes Firmware-Update des Router-Herstellers gewesen.
Offenbar hat die Nachricht jedoch nicht alle erreicht. Ein Leser berichtet, dass er erst Ende Mai festgestellt habe, dass seine Verschlüsselungskonfiguration von "WPA2" auf "Keine" gestellt war. Er sei weder vorher angerufen noch schriftlich benachrichtigt worden. Zwei Wochen nach seiner Anfrage bei Teleos sei er dann von einem Techniker zurückgerufen worden. Der Leser kritisiert insbesondere, dass er ohne eigenes Zutun von seinem Provider in eine Mitstörer-Haftungs-Falle gezogen worden sei – was wäre, wenn ein Nachbar über seinen Anschluss illegale Inhalte angesehen hat?
Quelle : www.heise.de
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Angriffen auf private Internet-Router. Eine neue Angriffstechnik mit der Bezeichnung „Cross Site Request Forgery“ mache es möglich, den Router gewissermaßen von innen zu manipulieren, teilte die Behörde am 30. Juli mit. Der Angreifer könne dann Passwörter, E-Mails oder sonstige private Daten ausschnüffeln sowie den Internetzugang für Angriffe auf andere Ziele kapern.
Die Gefahr einer solchen Attacke wurde jetzt auf der Black-Hat-Konferenz in Las Vegas demonstriert. Der Sicherheitsexperte Craig Heffner zeigte, wie sich die Technik für die Interpretation von Internetadressen im „Domain Name System“ so manipulieren lässt, dass die Schutzmaßnahmen der Web-Browser ausgehebelt werden können.
Bestehende Zugriffsbeschränkungen des Routers werden dann umgangen. In seinem Vortrag mit dem Titel „How to Hack Millions of Routers“ (Wie man Millionen von Routern hackt) erklärte Heffner, dass er ein Software-Werkzeug entwickelt habe, das den Angriffsvorgang automatisiere.
Angesichts dieser Möglichkeiten empfiehlt das BSI „unbedingt eine sichere Konfiguration des Heimrouters“. Im Einzelnen sollte man:
* ein sicheres individuelles Kennwort für den Router verwenden (das Anfangspasswort sollte bei der ersten Einrichtung des Geräts geändert werden),
* während der Konfiguration des Routers im Browser keine anderen Webseiten aufrufen,
* nach Abschluss des Vorgangs den Browser schließen und den Router neu starten,
* die Firmware des Routers (also die integrierte Gerätesoftware) regelmäßig auf Aktualität überprüfen und bei Bedarf aktualisieren,
* ein Passwort für das drahtlose Funknetz (WLAN) einrichten und dabei den Sicherheitsstandard WPA2 verwenden.
www.bsi.bund.de
-
Bisher waren Botnets aus Routern eher die Ausnahme. Das kann sich jedoch bald ändern, befürchtet die finnische IT-Sicherheitsfirma Trend Micro. Viele der Router - insbesondere Heimanwender-Geräte - weisen Lücken auf, was die Experten befürchten läßt, dass sie zukünftig verstärkt ins Visier der Cyberkriminellen geraten werden.
Gelingt es einem Angreifer, den Router eines Internetnutzers zu kapern, kann er darüber auch in dessen privates Netzwerk eindringen und die angeschlossenen Rechner und Peripheriegeräte angreifen oder fernsteuern. Trotz dieser Risiken sind viele privat genutzte Router nicht besonders sicher. Neben den gelegentlich auftretenden Problemen durch unsichere Firmware ist vor allem das nicht sicherheitsbewusste Verhalten vieler Nutzer ein großes Problem. So werden beispielsweise oft unsichere oder gar keine Passwörter vergeben und Änderungen der Router-Einstellungen nicht im abgesicherten Modus vorgenommen.
Diese Lücken werden zunehmend auch von Cyberkriminellen genutzt. Trend Micro berichtet, dass zunehmend Botnets auch aus Routern aufgebaut werden. Das Unternehmen empfiehlt daher, Router sicher zu konfigurieren, indem man ein starkes Passwort vergibt und Zugriffe auf das Verwaltungs-Interface von externen Netzen deaktiviert. Auch sinnvolle Firewall-Regeln und regelmäßige Software-Updates werden empfohlen.
Quelle : www.gulli.com
-
Der weit verbreitete ADSL-WLAN-Router W 700V der Telekom-Hausmarke Speedport wird zwar mit einem pro Gerät individuellen WPA-Schlüssel ausgeliefert. Doch beim Erfinden dieses Keys hat sich der Hersteller anscheined zu wenig Mühe gegeben. Ein heise-online-Leser hat herausgefunden, dass der größte Teil des Schlüssel sich aus bekannten Informationen zusammensetzt. Die Methode funktionierte auch für alle Exemplare, die sich in der Redaktion fanden sowie weitere Geräte. Dem Vernehmen nach ist auch das Modell Speedport W 500(V) betroffen.
Der voreingestellte WPA-Key des Speedport W 700V beginnt stets mit "SP-" und darauf folgen neun hexadezimale Stellen. Fünf dieser Stellen lassen sich offenbar aus dem Funknetz-Namen (SSID) und der MAC-Adresse der WLAN-Schnittstelle berechnen. Diese beiden Informationen lassen sich leicht aus dem Funkverkehr des Routers entnehmen. Von den verbleibenden vier Stellen enthalten zwei stets denselben Wert, sodass einem Angreifer nur drei Stellen des WPA-Keys unbekannt sind. Da hier nur hexadezimale Ziffern vorkommen, muss er nur 4096 (163) Schlüssel ausprobieren – was mit einem Skript schnell zu erledigen ist.
Um das WLAN zu sichern, genügt es, einen anderen WPA-Schlüssel zu konfigurieren. Der sollte aus mindestens 8, besser 12 bis 16 Zeichen bestehen, und zwar gemischt aus Buchstaben (a-z, A-Z) und Ziffern (0-9). Tabu sind Wörter, die in Wörterbüchern stehen, Eigen- oder Ortsnamen und ähnliches. Umlaute und Sonderzeichen werden von manchen Browser-Oberflächen falsch umgesetzt, sodass anschließend der Zugang trotz korrekter WPA-Key nicht klappt.
Ähnliche Fehler gab es auch bei SpeedTouch-Routern von Thomson und für den britischen Provider Sky angepassten Netgear-Routern. Der Speedport W 700V war schon 2006 als unsicher aufgefallen, weil es einen undokumentierten Zugang zur Konfiguration über das Internet gab.
Der Speedport W 700V stammt vom Zulieferer Arcadyan, seit 2006 einer Tochter des Compal -Konzerns . Den Router verkauft die Telekom zwar nicht mehr. Doch da er zu verschiedenen T-DSL-Paketangeboten gehörte, ist er immer noch weit verbreitet. Der Speedport W 701V vom Zulieferer AVM ist von diesem Fehler nicht betroffen.
Quelle : www.heise.de
-
Die webbasierte Bedienoberfläche der ZyWall-Produktereihe weist Schwachstellen auf, wodurch unbefugte Anwender Daten ausspähen und die Geräte umkonfigurieren können. Betroffen sind die ZyXEL USG Appliances 20, 20W, 50, 100, 200, 300, 1000, 1050 und 2000.
Nach Angaben von RedTeam Pentesting ist es möglich, durch Ändern einer Client-seitig gespeicherten JavaScript-Variable im Browser den Authentifizierungsmechanismus auszutricksen und die Konfigurationsdatei inklusive der gespeicherten Passwort-Hashes herunterzuladen. Es geht aber wohl noch einfacher: Laut Bericht reicht sogar die Angabe der vollständigen URL im Browser aus, um die Datei ohne jegliche Authentifizierung herunterzuladen.
Anschließend kann man die Passwörter knacken – oder eine manipulierte Konfigurationsdatei wieder hochladen. Auch das soll nach Erkenntnissen von RedTeam mit einem Trick ohne Authentifizierung möglich sein. Ein Angreifer könnte etwa einen eigenen Passwort-Hash eintragen und sich damit später als Admin anmelden. Für einen erfolgreichen Angriff ist es nur erforderlich, dass das Webinterface erreichbar ist; als Tools genügen ein Browser, curl oder wget.
Daneben ist es RedTeam über eine Known-Plain-Text-Attacke gelungen, die verschlüsselte Firmware zu entschlüsseln. Zyxel hat bereits am 25. April eine neue Firmware veröffentlicht, die die Probleme beseitigt.
Quelle : http://www.heise.de/newsticker/meldung/Schwachstellen-in-Zyxels-ZyWall-Produkten-1237250.html
-
Der österreichische Breitbandanbieter UPC hat WLAN-Router an seine Kunden ausgeliefert, die undokumentiert ein zweites, verstecktes WLAN aufspannen, berichten (http://www.sba-research.org/pressemitteilung-schwachstelle-in-upc-routern-bedroht-kundensicherheit/) Sicherheitsforscher von SBA-Research. Demnach nutzte das von UPC bereitgestellte Modell Thomson TWG850-4U stets die gleiche SSID und den gleichen WPA-Schlüssel für dieses WLAN. Netzwerke mit versteckter SSID tauchen in der normalen WLAN-Übersicht der Zugangsgeräte nicht auf, man muss neben dem WPA-Schlüssel auch die SSID kennen, um sich mit dem Netz verbinden zu können.
Das versteckte Netz ist nicht vom dem Haupt-WLAN isoliert, weshalb ein Angreifer sowohl auf das Internet als auch auf andere Rechner im Netz zugreifen kann, so die Forscher. Der ungebetene Gast könne sogar auf die Konfigurationsoberfläche des Routers zurückgreifen und dort den vom UPC-Kunden festgelegten WPA-Schlüssel auslesen sowie kritische Konfigurationsparameter ändern.
Bei einem kurzen Rundgang in Wien konnten die Sicherheitsforscher nach eigenen Angaben "hunderte Netze schon in wenigen Straßen" lokalisieren, die sie hätten übernehmen können. UPC liefert das Modell TWG850-4U an alle Kunden aus, die sich für das Kombiangebot aus TV und Internet entscheiden. Laut einem früheren Statement des Breitbandanbieters nutzen rund 250.000 Kunden dieses Paket.
UPC hat prompt reagiert und hat am heutigen Donnerstag, drei Tage nachdem das Problem publik wurde, mit einem Notfallpatch reagiert, der nun nach und nach automatisch an die betroffenen Geräte verteilt wird. Die Entdecker der Lücke bestätigten gegenüber heise Security, dass das versteckte WLAN nach der Firmware-Aktualisierung nicht mehr aufgespannt wird.
Ein ähnliches Phänomen beobachteten im November vergangenen Jahres schon die Kunden der niederländischen UPC-Tochter. Nach einem Firmwareupdate hat ein anderer Thomson-Router auch hier ein unsichtbares Netz aufgespannt. Zugriff auf die Konfigurationsoberfläche und andere Rechner im Netzwerk hatte man über dieses unsichtbare Netz jedoch nicht. UPC begründete dieses Verhalten damals mit "neuen Möglichkeiten", die für die Zukunft geplant seien.
Quelle : www.heise.de
-
Eine Vielzahl der Router, die von Providern an DSL-Kunden geliefert werden, lassen recht einfache Einbrüche in ihr WLAN zu. Die voreingestellten WPA-Schlüssel lassen sich leicht erraten, die Abhilfe ist aber ebenso einfach.
Wie bereits vor einem Jahr bekannt wurde, lassen sich die voreingestellten Schlüssel vieler WLAN-Router leicht erraten. Betroffen sind aber nicht nur die damals untersuchten Geräte Speedport W700V und W500 von T-Online, auch viele andere Router dieses Unternehmens und von Vodafone weisen Schwachstellen auf.
Zu diesem Ergebnis kommt eine bisher noch nicht veröffentlichte Untersuchung von Stefan Viehböck und Manuel Müller. Das Papier liegt Golem.de vor. Viehböck studiert das Fach Sichere Informationssysteme an der FH-Hagenberg, Müller Informatik an der Coburger Universität. Die beiden Sicherheitsforscher haben ihre Untersuchung unabhängig von den Universitäten in ihrer Freizeit vorgenommen.
Der Kern des Problem ist, dass viele moderne Router, aber auch ältere Modelle, von den Providern mit einem ab Werk eingestellten Namen für das WLAN (SSID) und einem ebensolchen Key für die WPA-Verschlüsselung ausgeliefert werden. Diese WPA-Schlüssel werden nach einen nun bekannten System generiert und lassen sich leicht erraten. Dazu muss vor allem die SSID des Routers bekannt sein - deren Ausstrahlung abzuschalten, ist dabei keine Lösung, von zahlreichen WLAN-Clients werden versteckte SSIDs trotzdem gefunden.
Voreingestellte Schlüssel lassen sich errechnen
Bei T-Online besteht die SSID eines Speedport-Routers aus einer Zeichenkette wie "WLAN-XXXXXX". Die sechs unbekannten Stellen sind hexadezimale Zahlen, die aber nicht etwa zufällig vergeben werden. Drei davon sind ein Teil der MAC-Adresse des Routers, die sich durch Mitschneiden des Netzwerkverkehrs einsehen lässt. Um die drei verbleibenden Stellen zu erraten, bedarf es immerhin noch eines Brute-Force-Angriffs mit höchstens 4.096 Versuchen - das ist in Zeiten schneller WLANs und ebensolcher Client-Systeme auch kein großer Aufwand mehr.
Viehböck und Müller gelang es aber, die Zahl der Versuche auf höchstens 1.000 zu reduzieren, denn: Die fehlenden drei Stellen des Schlüssels werden nicht nur durch SSID und MAC-Adresse, sondern auch durch drei Stellen der Seriennummer des Routers errechnet. Den dafür zuständigen Algorithmus fanden die Sicherheitsforscher in der Firmware der Router. Mittels des Programms Aircrack-ng soll auf einem modernen Notebook der Zeitaufwand für das Errechnen des WPA-Keys bei nur zwei Sekunden liegen.
Das gilt jedoch nur für eine Offline-Attacke, bei der zuvor genug des verschlüsselten Netzwerkverkehrs mitgeschnitten wurde. Beim direkten Einbruch in ein schlecht gesichertes WLAN ist der Zeitaufwand aber inzwischen auch unerheblich. Den WPA-Key eines Speedport W700V von T-Online konnten die Security-Experten in einem Laboraufbau in dreieinhalb Minuten erraten.
Anfällig für diese Attacke ist aber nicht nur dieses Gerät, sondern auch eine Vielzahl weiterer Speedport-Router. Alle von den Forschern untersuchten Geräte stammen vom Hersteller Arcadyan. Untersucht und für unsicher befunden wurden die Speedports mit den Modellnummern W303V (Typ A) W500, W502V, W503V (Typ C), W504V, W700V, W720V, W722V (Typ B) und W723V (Typ B).
Noch einfacher ist ein Einbruch in WLANs von Arcor/Vodafone, wenn diese über einen Router von Arcadyan mit den Voreinstellungen betrieben werden. "In Sekunden" könne in diese WLANs eingedrungen werden, sagte Manuel Müller Golem.de. Denn: Der WPA-Key wird bei diesen Geräten vollständig über die SSID und die MAC-Adresse erzeugt. Da der Algorithmus dafür bekannt ist, lässt sich der Schlüssel nun zurückberechnen. Das klappt laut Müller bei den Routern der Serie Easybox mit den Modellnummern A300, A400, A40, A600, A601, A800, A801, 402, 602, 802 und 803.
Lösung: SSID und WPA-Schlüssel ändern
Wer also einen dieser Router verwendet, sollte sowohl den WPA-Schlüssel wie auch die SSID dringend ändern - dann funktioniert der beschriebene Angriff nicht mehr. Als sicher gelten Keys mit Ziffern, Groß- und Kleinbuchstaben ab einer Länge von acht Stellen. Je länger, desto besser. Offenbar verlassen sich aber viele Anwender auf die vom Provider vorgenommenen Einstellungen.
Bei WLAN-Scans per Wardriving in den Städten Berlin, Coburg, München und Stuttgart untersuchten die Sicherheitsforscher im Laufe des Jahres 2011 insgesamt 13.916 WLANs. Je nach Stadt ergab sich bei diesen Netzen ein Anteil zwischen 17 und 25 Prozent, bei denen noch die von den Providern festgelegten unsicheren Einstellungen gültig waren. Anders interpretiert würde der nicht repräsentative Scan auch bedeuten, dass rund ein Fünftel aller Anwender die Sicherheitseinstellungen ihrer Router nicht ändert.
Quelle : www.golem.de
-
Weil die DSL-Router einiger Hersteller UPnP (Universal Plug and Play) auch auf der WAN-Schnittstelle unterstützen, ist es möglich, sie aus der Ferne über das Internet umzukonfigurieren und etwa als Surf-Proxy zu missbrauchen oder auf das interne LAN zuzugreifen. Entdeckt hat das Problem der IT-Sicherheitsexperte Daniel Garcia, der das Tool Umap zur Demonstration des Problems entwickelt und zum freien Download bereitgestellt hat.
Umap spürt UPnP-fähige Endgeräte wie DSL-Router und Kabelmodems über das Internet auf, indem er direkt die XML-Beschreibungen der Geräte abfragt. (Grundlagen zu UPnP liefert der Artikel "Netzwerke mit UPnP einrichten und steuern" auf heise Netze). Die dazu notwendigen URLs und Ports sind im Tool für einige Modelle fest programmiert. Damit umgeht die Software die sonst übliche Einschränkung, dass UPnP nur in lokalen Netzwerken funktioniert und dort per Multicast nach kompatibler Hardware sucht. Ganze Geräteserien von Edimax, Linksys, Sitecom oder Thomson (Speedtouch) antworten laut Garcia auf der WAN-Schnittstelle auf UPnP-Anfragen.
(http://www.heise.de/imgs/18/7/0/2/7/7/8/d33f20fb307d391c.png)
Umap scannt komplette Adresse-Blöcke und zeigt,
welche Router auf UPnP-Anfragen antworten.
Bild vergrössern (http://www.heise.de/newsticker/meldung/UPnP-faehige-Router-ermoeglichen-Angriff-aufs-LAN-1329633.html?view=zoom;zoom=1)
Da UPnP von Haus aus keine Authentisierung kennt, ist ein Abfragen der XML-Beschreibung in jedem Fall möglich. Nach eigener Auskunft hat Garcia binnen kurzer Zeit über 150.000 Geräte per Scan über das Internet aufgespürt, die potenziell angreifbar sind. Per SOAP-Request verschickt der Scanner nach der ersten Kontaktaufnahme UPnP-Kommandos wie “AddPortMapping” oder “DeletePortMapping” an die Endgeräte. Diese Kommandos werden normalerweise von Geräten im LAN verwendet, um per NAT auf das Internet zugreifen zu können. Im Fall der genannten Hersteller lässt sich der Port aber auch über die WAN-Schnittstelle öffnen – und auf ein beliebiges Gerät im LAN lenken. Die dazu erforderlich interne IP-Adresse versucht Umap zu erraten.
Auf diesem Weg kann ein Angreifer das LAN scannen und auf Geräte im internen Netzwerk zugreifen. Das Mapping funktioniert laut Garcia sogar mit IP-Adressen im Internet, so dass ein Angreifer mit Umap einen fremden Internetanschluss für Umleitungen missbrauchen kann, etwa um anonym zu surfen oder illegale Inhalte herunterzuladen. Als Schutzmaßnahmen empfiehlt Garcia, UPnP zumindest für das WAN-Interface abzuschalten. Wenn das nicht geht, bleibt nur, die Technik ganz zu deaktivieren – was aber unter Umständen dazu führt, dass beispielsweise Spielekonsolen Probleme bei Internetverbindungen haben.
Quelle : www.heise.de
-
Designfehler in Wi-Fi Protected Setup (WPS) machen effiziente Brute-Force-Angriffe möglich, so dass die Verschlüsselung praktisch aller WPS-fähigen Router vergleichsweise leicht ausgehebelt werden kann, warnt das US-Cert. Entdeckt hat die Sicherheitslücke der deutsche Student Stefan Viehböck.
Wi-Fi Protected Setup (WPS) soll die Einrichtung verschlüsselter WLANs vereinfachen. Das Programm wurde 2007 von der Wi-Fi Alliance eingeführt. Doch das System biete aufgrund einiger schlechter Designentscheidungen Angriffspunkte, die effiziente Brute-Force-Angriffe ermöglichten, sagt Stefan Viehböck, der das Fach Sichere Informationssysteme an der FH-Hagenberg studiert und zusammen mit Manuel Müller im August 2011 bereits auf unsichere WLAN-Passwörter in Routern von T-Online und Vodafone hingewiesen hatte.
Laut Viehböck betreffen die von ihm entdeckten Sicherheitslücken fast alle aktuellen Router, da seit geraumer Zeit praktisch alle Geräte standardmäßig mit aktiviertem WPS ausgeliefert werden.
Einfache Verschlüsselung mit WPS
Um mit WPS ein verschlüsseltes WLAN einzurichten, gibt es drei Varianten: Bei "Push-Button-Connect" muss am Access Point und am WLAN-Client ein Knopf gedrückt werden, was auch ein virtueller Schalter sein kann. Anschließend ist "Push-Button-Connect" auf dem Access Point für maximal zwei Minuten aktiv.
Die zwei weiteren Varianten sehen die Eingabe einer PIN vor. Entweder wird eine auf dem Client aufgedruckte PIN im Webinterface des WLAN-Routers eingegeben (Internal Registrar) oder der Nutzer gibt eine vom Router generierte oder auf dem Router aufgedruckte PIN am Client ein (External Registrar). Gegen die letztgenannte Variante richtet sich der Angriff von Viehböck, da hier nur eine PIN benötigt wird, aber weder physischer Zugriff auf den Router noch Zugriff auf dessen Webinterface.
Access Point gibt Hinweise auf Korrektheit der PIN
Schlägt die WPS-Authentifizierung fehl, so sendet der Access Point eine EAP-NACK-Nachricht. Je nachdem, wann der Router diese EAP-NACK-Nachricht sendet, ist erkennbar, ob die erste oder zweite Hälfte der PIN falsch ist. Dies verringert die Zahl der notwendigen Versuche zum Erraten der PIN von 10^8 auf 10^4 + 10^4, also rund 20.000. Da zudem die achte Ziffer der PIN immer eine Prüfsumme der ersten sieben Ziffern ist, werden in aller Regel maximal 10^4 + 10^3, also rund 11.000 Versuche benötigt, um eine PIN zu finden.
Brute-Force-Tool entwickelt
Viehböck hat auf Basis dieser Erkenntnis ein Brute-Force-Werkzeug in Python entwickelt. Es nutzt die Bibliothek Scapy zur Decodierung, Generierung sowie dem Senden und Empfangen von Paketen. Sein Tool hat er mit verschiedenen Routern getestet.
Je nach Router dauert ein Authentifizierungsvorgang zwischen 0,5 und 3 Sekunden, so dass für 11.000 Versuche zwischen 90 Minuten und 10 Stunden eingeplant werden müssen. Im Durchschnitt sollten die PINs schon nach der Hälfte, also nach rund 5.500 Sekunden, gefunden sein.
Laut Viehböck haben einige Routerhersteller keine Maßnahmen gegen solche Brute-Force-Angriffe umgesetzt, so dass ein Angreifer alle PIN-Kombinationen ohne Unterbrechung durchprobieren kann.
WPS abschalten
Nutzern rät Viehböck daher, WPS abzuschalten, sofern dies möglich ist. Gerätehersteller sollten nach mehreren Fehlversuchen WPS blockieren, so dass ein Angriff deutlich länger dauert. Das Knacken einer WPA-/WPA2-SPK-Verschlüsselung sei im Vergleich zu diesem Brute-Force-Angriff deutlich aufwendiger, so Viehböck.
US-Cert veröffentlicht Warnung
Viehböck hat seine Erkenntnisse an das US-Cert übergeben, das eine entsprechende Warnung veröffentlicht hat. Viehböck beschreibt die Probleme in seinem Aufsatz Brute forcing Wi-Fi Protected Setup - When poor design meets poor implementati (http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf). Sein Brute-Force-Tool will er in Kürze veröffentlichen (http://sviehb.wordpress.com/2011/12/27/wi-fi-protected-setup-pin-brute-force-vulnerability/), will den Code aber zuvor noch aufräumen.
Quelle : www.golem.de
-
Der Netzwerkausrüster AVM hat sich zur kurz vor dem Jahreswechsel bekannt gewordenen Lücke im WLAN-Einrichtungsverfahren WPS (WiFi Protected Setup) geäußert. Laut der knappen Mitteilung sind AVMs Fritzboxen nicht von diesem Fehler betroffen, da sie WPS nur auf ausdrücklichen Wunsch des Nutzers und für eine kurze Zeit aktivieren. In den anschließenden zwei Minuten könnte sich ein WLAN-Client beim Router die Einrichtungsdaten respektive die Passphrase via WPS abholen, danach deaktiviert die Fritzbox-Firmware das Verfahren automatisch. Kontaktiert ein zweiter WLAN-Client parallel dazu den Router per WPS, schalten die Fritzboxen das Verfahren umgehend ab, erläutert AVM weiter.
WPS gehört nicht zum eigentlichen WLAN-Standard IEEE 802.11. Die nun entdeckte Lücke wirkt sich also nicht auf die dort beschriebenen, zugrunde liegenden Verschlüsselungsverfahren WPA2 oder WPA aus, sie öffnet jedoch einen Weg, um an die WLAN-Zugangsdaten zu gelangen. Die WPS-Spezifikation stammt vom Industriekonsortium WiFi Alliance, das sich bislang nicht zu dem Problem geäußert hat.
Mit WPS sollen sich WLAN-Geräte eigentlich einfach und sicher in Funknetze einbinden lassen: Über einen Knopfdruck am Router oder eine vorgegebene PIN lässt sich das als sicher erachtete Verschlüsselungsverfahren WPA2 respektive WPA einrichten. Auswählen des Funknetzes aus einer Liste und Eingabe des WPA-Passwort ist dazu nicht mehr notwendig.
Nach den Analysen ist gerade die letzte dieser WPS-Methoden ("external registrar", PIN-Eingabe auf dem WLAN-Client) anfällig für Brute-Force-Angriffe, denn sie benötigt keine weitere Authentifizierung. Eine WPS-PIN besteht typischerweise aus acht Ziffern, die letzte ist jedoch eine Prüfsumme der vorhergehenden sieben Stellen. Ein weiterer Design-Fehler senkt die Zahl der maximal nötigen Angriffsversuche von 107 (10 Millionen) auf 104 + 103 (11.000): WPS sieht auch einen Schlüsselaustausch über vierstellige PINs vor. Deshalb überprüft es die ersten vier Ziffern direkt nach deren Übermittlung und quittiert Fehler umgehend. Ähnlich verfährt WPS mit den letzten drei Ziffern. Wurde eine korrekte PIN gesendet, übermittelt der Access Point ein Einrichtungspaket samt des WPA/WPA2-Passworts.
Als schnelle Gegenmaßnahme empfiehlt der Entdecker der Sicherheitslücke Stefan Viehböck WPS auf dem Router abzuschalten. Laut Viehböck könnten Router-Hersteller des Weiteren einen Lock-Down-Mechanismus nachrüsten, der WPS nach einer bestimmten Zahl von Verbindungsversuchen etwa für eine Stunde deaktiviert. Setzt man hier als Schwelle beispielsweise fünf Anmeldeversuche, verlängert sich die maximale Angriffsdauer von knapp 4 Stunden auf über 90 Tage.
Viehböck hat mittlerweile das in Python geschriebene WPS-Brute-Force-Tool wpscrack (http://dl.dropbox.com/u/22108808/wpscrack.zip) veröffentlicht, mit dem sich die Lücke ausnutzen lässt. Als Alternative steht das Programm Reaver (http://www.devttys0.com/2011/12/cracking-wpa-in-10-hours-or-less/) von Craig Heffner bereit, der ebenfalls auf die Lücke gestoßen war.
Quelle : www.heise.de
-
Der Sicherheitsforscher Sebastian Petters hat nach eigenen Angaben einen Weg gefunden, die ab Werk voreingestellte WPA-Passphrase auf den von Arcadyan hergestellten EasyBox-Routern von Vodafone vollständig zu berechnen.
Bereits im vergangenen Sommer hatte heise Security berichtet, dass die voreingestellten WPA-Schlüssel in den WLAN-Routern von Vodafone und der Telekom leicht zu erraten sind. Statt eines zufällig erzeugten Schlüssels leitet Arcadyan Teile des Schlüssels offenbar vollständig von der MAC-Adresse der WLAN-Schnittstelle ab – und die lässt sich leicht mit speziellen Tools herausfinden. Nach den Analysen aus dem vergangenen Jahr verringert diese Verfahren den möglichen Schlüsselraum auf nur 1000, unter Umständen sogar auf nur 100 mögliche Schlüssel.
Durch das Studium eines Arcadyan-Patents mit dem Titel Schlüsselerkennungsverfahren und kabelloses Kommunikationssystem konnte Petters nun einen Weg finden, den voreingestellten WPA-Schlüssel der EasyBoxen ohne Ausprobieren vollständig aus der MAC-Adresse zu ermitteln. Neben der allgemeinen Beschreibung finden sich in Petters Blog auch Programmbeispiele sowie ein Online-Generator, die zu einer MAC-Adresse über das im Patent beschriebene Verfahren den voreingestellten WPA-Schlüssel erzeugen.
Das von Petters beschriebene Verfahren funktioniert bislang nur auf EasyBox-Routern. Betroffen seien danach alle EasyBox-Modelle, nur bei einigen vom Typ EasyBox 803A versage das Verfahren, erklärt der Autor in einem Kommentar zu seinem Artikel (http://www.wotan.cc/?p=6#comment-28). Auch die von der Telekom vertriebenen Arcadyan-Router der Marke Speedport nutzen für WPA-Schlüssel-Generierung ein anderes Verfahren.
Besitzer von Vodafone-, Telekom oder Arcor-Router sollten daher den voreingestellten WPA-Schlüssel gegen einen selbst erzeugten tauschen: Ansonsten drohen trotz aktivierter WPA-Verschlüsselung Einbrüche ins eigene Netzwerk und unerwünschte Mitsurfer.
Quelle : www.heise.de
-
Die Weboberflächen einiger Fritz!Boxen im Unitymedia-Kabelnetz sind ungeschützt über das Internet erreichbar. Nach Eingabe der IP kann man die Router beliebig umkonfigurieren, die Anruflisten der Unitymedia-Kunden durchstöbern oder aber den durchgeschleusten Datenverkehr abgreifen. Besonders brisant ist hierbei die Tatsache, dass es sich bei den betroffenen IPs um Anschlüsse von Firmenkunden handelt.
Bei Firmenkunden von Unitymedia ist das Webinterface der Fritz!Box in bestimmten Fällen direkt über das Internet erreichbar. Nämlich dann, wenn sich der Kunde für einen Anschluss mit mehreren statischen IPs entschieden hat. In diesem Fall sind bei der von Unitymedia eingesetzten Fritz!Box essentielle Routerfunktionen wie NAT sowie Firewall inaktiv. Anders als in der Standardkonfiguration liefert die Box dann unter einer der externen IPs ihre Konfigurationsoberfläche aus.
Das wird zum Sicherheitsproblem, wenn die Firmware des Routers bekannte Schwachstellen aufweist – oder aber schlicht kein Adminpasswort gesetzt ist, wie es ein Leser von heise Security in mehreren Fällen beobachtet hat. Gegenüber heise Security sagte Unitymedia-Sprecher Johannes Fuxjäger hierzu: "Grundsätzlich wird direkt bei der Installation der Fritz!Box bei B2B-Kunden mit statischer IP ein Passwort gesetzt. Darauf werden die Installateure unserer Service-Partner ausführlich geschult. Sowohl in den Schulungsunterlagen als auch in einem separaten Merkzettel werden die Installateure zusätzlich auf die Besonderheit bei B2B-Kunden mit statischer IP hingewiesen."
Die von uns beobachteten Fälle, in denen Router nicht passwortgeschützt waren, erklärt Fuxjäger durch Fehler der Kunden: "Die Kunden haben die Installation entweder selbst übernommen, die Installation der eigenen IT-Firma überlassen oder das Passwort nachträglich geändert." Privatkunden sind nach Angaben des Sprechers nicht von dem Problem betroffen.
Generell ist es eine gute Idee, den Zugriff auf den Router mit einem Passwort zu schützen; sei es nun im Unternehmen oder zuhause. Angreifern ist es in der Vergangenheit bereits gelungen, ungeschützte Router aus der Ferne nach ihren Vorstellungen umzukonfigurieren – und das sogar, ohne dass das Webinterface direkt über das Internet erreichbar war.
Quelle : www.heise.de
-
Mir zwingt sich dabei gerade eine Frage auf:
Enthält die Weboberfläche dieser Boxen auch die Option zum Zurücksetzen auf Werkseinstellungen bei "vergessenem" Passwort?
Das könnte nämlich auch bei einem "sicheren" Admin-Passwort ein gewaltiges Risiko bedeuten.
Gerade weil sich eine Box an einer Leitung mit fester IP natürlich stets wiederfinden lässt, wäre ein so möglicher Zugriff nach einem fernausgelösten Reset für jeden Hacker das Paradies, denn danach gehörte ihm die Box quasi allein, einschließlich aller Protokoll-Funktionen, Passwortvergabe usw.
Und das müsste dem legalen Nutzer danach noch nicht einmal unbedingt auffallen, bevor der vielleicht irgendwann selbst wieder zu administrieren versucht.
Außerdem gibt es ja noch andere Zugangsmöglichkeiten, die sich der Hacker recht unauffällig vorbereiten könnte, wie per Telnet, Fernwartung, Mediacenter-Funktionen usw.
Private Nutzer sind da vielleicht etwas besser dran, weil sich ihre Box nach einem Reset und darauf folgendem Neuaufbau der Verbindung normalerweise eine neue IP holt, die der Hacker aus der Ferne ohne ein weiterhin lokal vorhandenes Werkzeug (Trojaner auf einem angeschlossenen Rechner o.ä.) nicht erfährt.
Jürgen
-
Der Telekom-Router Speedport W 921V erlaubt jedem eine Verbindung zum WLAN, der eine triviale PIN kennt. Das funktioniert selbst dann, wenn die dafür genutzte Funktion "WPS PIN" in der Konfiguration scheinbar deaktiviert wurde. Derzeit gibt es nur einen Schutz: Das WLAN komplett abschalten.
Auf Nachfrage von heise Netze ist das auch die Übergangslösung, die die Telekom ihren Kunden nahelegt. Man arbeite zwar an einem Update, aber das dauere eben einige Zeit.
Nach Schätzung von Branchen-Insidern hat die Telekom mehrere 100.000 Exemplare des betroffenen Routers verkauft.
Details zu der Lücke und das Diskussionsforum auf heise Netze:
WLAN-Hintertür in Telekom-Routern (http://www.heise.de/newsticker/meldung/WLAN-Hintertuer-in-Telekom-Routern-1558346.html)
-
Laut BSI sind in recht ähnlicher Weise gleich mehrere Modelle betroffen:
SICHER o INFORMIERT
-------------------
Die Extraausgabe des Bürger-CERT
Ausgabe vom 25.04.2012
BSI weist auf Schwachstelle in WLAN-Routern hin
Standard-PIN erlaubt Zugriff auf Netzwerke
Mehrere von der Telekom vertriebene WLAN-Router (Speedport W 504V,
Speedport W 723 Typ B und Speedport W 921V) haben nach Informationen der
Telekom eine Schwachstelle, die den unautorisierten Zugriff auf interne
Netzwerke ermöglicht.
-/-
Nutzer der beiden WLAN-Router Speedport W 504V und Speedport W 723V Typ B
sollten vorübergehend über die Konfigurations-Weboberfläche des Geräts
die WPS-Funktionalität deaktivieren.
Hingegen ist auf dem Modell Speedport W 921V eine Deaktivierung von WPS
nicht möglich, und auch das Ändern der PIN schließt die Lücke nicht.
Deshalb können sich Betroffene momentan nur durch die Abschaltung des
WLANs schützen.
-/-
-----------------------------------------------------------------------
Diese Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de
Quelle: buerger-cert.de
Fairerweise dürfen unsere geschätzten Leser, sofern sie sich das mit Recht zutrauen, gerne einmal darüber nachdenken, ob es in ihrem Bekannten- bzw. Freundeskreis Nutzer solcher Geräte gibt, die sich eventuell nicht selbst helfen können, und gegebenenfalls ihre Hilfe anbieten, sofort und noch einmal bei Verfügbarkeit neuer Firmware.
Ich selbst kenne allerdings niemanden mit solch einem Router.
Jürgen
-
Bereits am 27. April 2012 will die Telekom mit einem Firmwareupdate den unsicheren Router Speedport W 921V reparieren. Bisher bietet das Gerät Unbefugten Zugriff auf sein WLAN. Erst in der kommenden Woche sollen die anderen beiden unsicheren Geräte aktualisiert werden.
"Wir arbeiten mit dem Hersteller an einer Lösung, wir gehen davon aus, dass wir im Laufe des morgigen Tages eine erste Lösung zur Verfügung stellen können und mit einem Softwareupdate diese Sicherheitslücke schließen", sagte Telekom-Sprecher Malte Reinhardt im Mittagsmagazin der ARD.
Er bezog sich dabei aber nur auf den Router Speedport W 921V, dessen WLAN völlig ungesichert ist. Anwender können bis zu einem Update nichts dagegen tun, die Telekom empfiehlt, das WLAN des Geräts abzuschalten. Der Router mit eingebautem Modem wird seit September 2011 verkauft und vielen DSL-Kunden der Telekom auch zur Miete angeboten. Mehrere hunderttausend Exemplare des W 921V sollen seitdem ausgeliefert worden sein.
Gegenüber der WAZ-Gruppe erklärte die Telekom weiter, dass das Update über die Funktion "Easy Support" der Router automatisch verteilt werden soll. Für Besitzer des W 921V ist es also dringend zu empfehlen, in der per Browser über die Adresse speedport.ip zugänglichen Konfigurationsoberfläche nachzusehen, ob Easy Support eingeschaltet ist. Im Auslieferungszustand von Telekom-Routern ist das der Fall.
In manchen Anwenderforen kursiert der Tipp, diese Funktion abzuschalten, weil die Telekom damit Zugriff aufs eigene Netzwerk habe. Dafür gibt es aber bisher keine Belege. Wer dem Autoupdate nicht traut, kann das Firmwareupdate auch selbst einspielen. Es soll am Freitag, dem 27. April 2012 auf den Supportwebseiten der Telekom (http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/FAQ/theme-71990825/Geraete-und-Zubehoer/theme-2000178/DSL-Geraete/theme-66139021/Speedport-Serie/theme-66140455/Speedport-W-9xx-Serie/theme-363694070/Speedport-W-921V) angeboten werden.
Erst in der kommenden Woche, also ab dem 30. April 2012, will die Telekom auch Updates für die beiden unsicheren Router W 504V und W 723V anbieten. Bei diesen beiden Geräten kann bis dahin das WLAN weiter genutzt werden, es reicht nach Angaben der Telekom, die Funktion WPS vollständig abzuschalten.
Bei allen drei von dem Sicherheitsproblem betroffenen Geräten handelt es sich um eine seit Dezember 2011 bekannte Schwachstelle des "Wi-Fi Protected Setup" (WPS), mit dem neue Geräte besonders einfach Zugang zu einem WLAN finden sollen. Beim W 921V existiert jedoch zusätzlich noch eine Hintertür, die über eine stets identische PIN jedem Rechner den Zugang zum WLAN erlaubt. Bei den Speedports W 504V und W 723V gibt es nach Angaben der Telekom keine solche Backdoor, deren WPS ist aber für einen etwas komplexeren Angriff anfällig.
Quelle : www.golem.de
-
Beim Telekom-Router Speedport W 921V ließ sich die jüngst bekannt gewordene Sicherheitslücke nur schließen, indem man das WLAN komplett abschaltet. Nun hat die Telekom die Beta-Version 1.17.000 der Firmware zum Download (http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/FAQ/theme-363694070/Speedport-W-921V) bereitgestellt, die den Fehler in der WPS-Funktion beheben soll.
Für die beiden anderen betroffenen Modelle Speedport W 723V (Typ B) und W 504V ist bisher noch keine neue Betriebssoftware aufgetaucht. Allerdings wiegt dort der Fehler auch nicht so schwer, weil sich bei diesen Modellen WPS deaktivieren lässt.
Laut einer zur Firmware gehörenden Textdatei (http://www.telekom.de/dlp/eki/downloads/Speedport/Speedport%20W%20921V/wichtiger_Hinweis.txt) muss diese Beta-Firmware "noch gemeinsam mit dem Gerätehersteller getestet werden, bevor diese freigegeben werden kann." Mit der Freigabe rechnet die Telekom erst für die kommende Woche. Bis dahin wird sich wohl auch die von der Telekom angekündigte automatische Verteilung per TR-069 verzögern.
Ausdrücklich heißt es in dem Begleittext: "Für Kunden, die bereits die Beta-Version nutzen möchten, stellt die Telekom diese kostenlos zum Download bereit und weist darauf hin, dass diese Version Fehler aufweisen kann."
Das Update wurde offenbar auf Druck der Telekom beim Zulieferer Arcadyan extrem schnell programmiert. Denn die Telekom hatte nach eigenen Angaben erst durch ein Forenposting in den vergangenen Tagen von dem Fehler erfahren. Derweil melden im Internet mehrere Kunden, sie hätten das Unternehmen bereits Ende des vergangenen Jahres über die Lücke informiert.
Quelle : www.heise.de
-
Auch für den zweiten, vom WPS-Fehler betroffenen Speedport-Router – den W 723 V (Typ B) – hat die Telekom nun eine fehlerbereinigte Firmware veröffentlicht (http://hilfe.telekom.de/hsp/cms/content/HSP/de/90934/Startseite/Produktwarnung/speedport-w723v-typ-b). Vor etwa zwei Wochen wurde bekannt, dass die Telekom-Router W 921V, W 723V (Typ B) und W 504V ein Hintertür im WLAN-Einrichtungsmechnismus WPS (Wi-Fi Protected Setup) besitzen. Während man die Lücke beim 723V (Typ B) und W 504V durch das Deaktivieren von WPS schließen konnte, musste man bei W 921V dafür das WLAN vollständig ausschalten.
Wegen der Schwere des Fehlers beim W 921V hatte die Telekom bereits vergangene Woche eine neue Firmware für dieses Gerät bereitgestellt. Besitzer des W 504V müssen auf eine Aktualisierung offenbar noch etwas warten: Auf den Support-Seiten findet sich bislang noch keine neue Firmware.
Wie auch beim W 921V verteilt das Unternehmen die neue Firmware per TR-069, falls im Router die Option "EasySupport" aktiv ist. Für das manuelle Update steht die Firmware sowie eine Anleitung für die Aktualisierung auf den Telekom-Support-Seiten zum Download (http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/FAQ/theme-323378321/Speedport-W-723V-Typ-B) bereit. Nach dem Update sollte man zudem den für den Zugang nötigen WLAN-Schlüssel (Passphrase) im Router ändern.
Quelle : www.heise.de
-
Auch für den Speedport W 504V steht nun eine neue Firmware (http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/FAQ/theme-224064007/Speedport-W-504V) bereit, die die Ende April bekannt gewordene WLAN-Lücke schließt. Für die beiden anderen betroffenen Modelle W 723V (Typ B) und W 921V hatte das Unternehmen bereits fehlerbereinigte Firmware-Versionen veröffentlicht.
Die neuen Firmware-Versionen stopfen die Hintertür im WLAN-Einrichtungsmechanismus WPS (Wi-Fi Protected Setup) der Router, über die Fremde dank eines Standard-Schlüssels jederzeit in das Funknetz des Speedport-Routers gelangen konnten. Während sich bei den Modellen W 723V (Typ B) und W 504V WPS und damit auch die Hintertür einfach deaktivieren ließ, musste man beim W 921V das WLAN hingegen vollständig ausschalten, um vor ungebetenen Gästen sicher zu sein.
Laut Telekom sollen die fehlerbereinigten Firmware-Versionen automatisch per TR-069 an die Router verteilt werden. Das klappt allerdings nur auf solchen Geräten, auf denen der Router-Eigner das automatische Update in der Router-Konfiguration nicht deaktiviert hat. Anleitungen und Firmware-Images für das manuelle Update stehen auf den Support-Webseiten der Telekom zum Download (http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/FAQ/theme-224064007/Speedport-W-504V) bereit.
Quelle : www.heise.de
-
Die Router der Fritzbox-Reihe von AVM bringen einen Medienserver mit, der Musik, Videos und Bilder an UPnP-Geräte im lokalen Netzwerk liefert. Doch der stellt auch andere Dateien bereit – unter anderem Konfigurationsdateien, die je nach Modell sogar Passwörter enthalten. Die einfachste Abhilfe ist, den Medienserver zu deaktivieren. Wer seine Medien unbedingt von der Box beziehen möchte, sollte die Freigabe des internen Speichers abschalten und für USB-Medien die Freigabe auf die Ordner mit Mediendateien beschränken. Kurz nachdem heise Netze den Hersteller AVM auf den Fehler aufmerksam machte, hat dieser ein Firmware-Update bereitgestellt. Bisher gibt es korrigierte Beta-Versionen (bei AVM Labor (http://www.avm.de/de/Service/Service-Portale/Labor/index.php) genannt) für die Modelle 7390 und 7270.
Der Fehler steckt zwar in der UPnP-Software, betrifft aber nicht direkt dieses Protokoll. Denn der Server gibt per UPnP nur eine Liste der Mediendateien heraus. Für den Abruf der darin verzeichneten Medien enthält er zusätzlich einen http-Server auf einem anderen Port, in dem der Fehler steckt: Er liefert nicht nur die Medien aus der UPnP-Liste aus, sondern allerhand andere Dateien, sofern man bei der Abfrage den richtigen Pfad angibt. Dazu gehören auch Konfigurationsdateien, die bei einigen Fritzbox-Modellen sicherheitsrelevante Daten wie das WLAN-Passwort im Klartext enthalten. Für den Abruf ist kein Passwort erforderlich. Der Server bedient zwar nur Stationen im lokalen Netzwerk. Doch per Cross-Site-Scripting kann ein externer Angreifer wahrscheinlich den Browser dazu bringen, die Daten weiterzugeben.
Quelle : www.heise.de
-
Für die 7390 ist der Patch in der Labor-Firmware-Version 84.05.21-22484 enthalten.
Versions-Hinweis:
System: UPnP-Freigaben für Port 49200 im Heimnetzwerk eingeschränkt
-
Und auch für die 7270v3 -> http://www.heise.de/newsticker/meldung/Fritzbox-Sicherheitsluecke-im-zweiten-Anlauf-gestopft-1583541.html
-
Danke für diesen Wink mit dem Zaunpfahl
Für die 7390 ist der aktualisierte Patch nun in der Labor-Firmware-Version 84.05.21-22513 enthalten.
Versions-Hinweise:
System: UPnP-Freigaben für Port 49200 im Heimnetzwerk weiter eingeschränkt
System: IPv6-Firewall-Einstellung für VoIP erweitert
System: Sich wiederholende Passwortabfragen beim FTPS-Zugriff von außen beseitigt
Internet: Detail-Verbesserungen in der Stabilität bei UMTS-Betrieb
Internet: Zuverlässiger Aufbau der UMTS-Fallback Verbindung bei Einstellung 'Automatisch trennen'
Internet: Darstellungsfehler auf der Seite DSL-Informationen im Mobilfunkbetrieb beseitigt
Speicher/NAS: Hinweis in der Benutzeroberfläche für USB-Geräte mit erhöhter Stromaufnahme
MyFRITZ: Korrektur der Einstellungsseite im Mobilfunkbetrieb
-
"Hacken von [zensiert] Routern" lautete der Titel des Defcon-Vortrags der Sicherheitsexperten Felix Lindner (auch bekannt als FX) und Gregor Kopf von den Berliner Recurity Labs. Das "zensiert" stellte sich schnell als die AR18- und AR19-Router des chinesischen Herstellers Huawei heraus. Die beiden Router-Hacker haben sich die Firmware, die Standardeinstellungen und die allgemeine Sicherheit der Systeme angesehen und kamen zu dem Schluss: So gut wie alles, was man falsch machen kann, hat Huawei auch falsch gemacht.
Der ganze Artikel (http://www.heise.de/security/meldung/Huawei-Router-Schwachstellen-aus-Fernost-1657154.html)
Quelle : www.heise.de
-
Wie Fabio Assolini von Kaspersky Lab während eines Vortrags bei der Virus Bulletin Conference in Dallas darlegte, war es Kriminellen in Brasilien über Monate hinweg gelungen, 4,5 Millionen DSL-Router unbemerkt zu kompromittieren. Dafür haben sie mittels zweier Bash-Scripte per Cross Site Request Forgery (CSRF) zunächst das Administrator-Passwort geändert und im zweiten Schritt den DNS-Server-Eintrag im Router manipuliert. Selbst ein schon eingerichteter Passwortschutz ließ sich per CSRF umgehen. Die PCs der Nutzer wurden nach dem Angriff zu vorprogrammierten Phishing-Domains gelotst, die vor allem das Abgreifen von Bankdaten zum Ziel hatten. Für diese Umleitung hatten die Angreifer 40 DNS-Server eingerichtet. Der Angriff beschränkte sich auf weite Teile des IP-Adressraums in Brasilien.
Der ganze Artikel (http://www.heise.de/security/meldung/4-5-Millionen-Router-gehackt-1721882.html)
Quelle : www.heise.de
-
Das voreingestellte WPA2-Passwort einiger Belkin-Router kann man offenbar leicht errechnen, wie Jörg Schneider und Jakob Lell von der TU Berlin herausgefunden haben. Demnach wird das Standard-Passwort mit Hilfe einer Substitutionstabelle von der MAC-Adresse der WAN-Schnittstelle abgeleitet.
Das Problem hierbei: Die MAC-Adresse der WAN-Schnittstelle weicht nur minimal von der über Funk ausgesandten MAC-Adresse des WLAN-Moduls ab. Somit kann jeder, der sich in Reichweite des Routers befindet, das WPA2-Passwort errechnen und sich in das Netz einbuchen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Voreingestelltes-WPA2-Passwort-bei-Belkin-Routern-leicht-zu-berechnen-1754439.html)
Quelle : www.heise.de
-
Eine ganze Reihe von Routern von Arcor, Asus und TP-Link sind anfällig für eine ungewollte Fernkonfiguration. Der Sicherheitsforscher Bogdan Calin demonstriert in seinem Blog eindrucksvoll, dass im Netz der Router schon das Anzeigen einer Mail weitreichende Konsequenzen haben kann: Seine speziell präparierte Testmail konfiguriert beim Öffnen den WLAN-Router so um, dass der Internet-Datenverkehr umgeleitet wird. Ein Angreifer könnte den Nutzer so etwa unbemerkt beim Aufruf von Facebook.com auf eine Phishing-Version der Seite locken, um die Zugangsdaten abzugreifen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Mail-hackt-Router-1759354.html)
Quelle : www.heise.de
-
Wer seinen Router mit dem default Administrator-Passwort oder sogar ohne betreibt, der handelt grob fahrlässig.
Allerdings gibt es durchaus auch Geräte, die Hintertüren in der Art eines zusätzlichen und dem Nutzer nicht zugänglichen Notfall-Passworts oder eines verdeckten und kaum geschützten Fernwartungs- oder Telnet-Zugangs haben. Weitere sind gar nicht direkt im LAN, sondern überhaupt nur per Fernkonfiguration konfigurierbar.
Diese Art Angriffe wird daher wohl künftig noch stark zunehmen.
Und der Weg muss dabei nicht immer über einen angeschlossenen Rechner führen, denn eher simple und meist kaum oder gar nicht geschützte Geräte im LAN oder WLAN kommen vermehrt zum Einsatz, wie z.B. auch webfähige TVs, BluRay-Player, Konsolen, Smartphones und vielleicht bald Kühlschränke ::)
Jürgen
-
Telefónica hat in Koordination mit heise Security eine schwerwiegende Sicherheitslücke in seinem WLAN-Router 4421 behoben, der standardmäßig an DSL-Kunden von Alice und o2 ausgeliefert wird. Durch einen Firmware-Fehler war das Webinterface des Routers über den Port 7170 aus dem Internet erreichbar. Wenn der DSL-Kunde kein Konfigurationspasswort gesetzt hatte, konnte man den Router dadurch der Ferne umkonfigurieren, die Zugangsdaten auslesen und sogar die Anrufprotokolle auslesen.
Der ganze Artikel (http://www.heise.de/security/meldung/Router-von-o2-und-Alice-mit-kritischem-Firmware-Fehler-1759265.html)
Quelle : www.heise.de
-
Das US-CERT warnt vor einer Lücke in den UPnP-Funktionen, welche vermutlich nahezu alle privat genutzten Router betrifft. Zwar gibt es eine einfache Abhilfe, aber das Stopfen der Lücke dürfte einige Zeit in Anspruch nehmen.
In einem aktuellen Security-Advisory warnt das US-CERT vor einer Lücke in den Funktionen für Universal Plug and Play (UPnP), die die Mehrzahl der Router und andere Geräte für Heimnetzwerke betrifft. Der Fehler steckt in zahlreichen Versionen der ursprünglich von Intel seit dem Jahr 2001 entwickelten Bibliothek "libupnp", die auch für andere Prozessorarchitekturen und Betriebssysteme, darunter Windows, Linux und MacOS verwendet wurde.
Nahezu alle Geräte und Programme, die UPnP beherrschen, dürften darauf basieren. Heute sind Folgeversionen von libupnp als "Portable SDK" für die Funktionen bekannt. Laut der Warnung sind alle Versionen von libupnp vor der Nummer 1.6.17 von der Lücke betroffen.
Der ganze Artikel (http://www.golem.de/news/libupnp-schwere-upnp-luecke-in-hunderten-von-routern-1301-97235.html)
Quelle : www.golem.de
-
Die weit verbreiteten Speedport-Router sind nicht von der aktuellen UPnP-Sicherheitslücke betroffen, wie uns die Deutsche Telekom versicherte. "Ein Zugriff über das Internet auf UPnP-Funktionen der Telekom-Router ist nicht gegeben", heißt es in der Mitteilung.
Die Speedport-Router beherrschen UPnP. Laut der Telekom sind zwei Funktionen in aktuellen Geräten implementiert. Zum einen gibt es einen Medienserver und zum anderen eine Managementschnittstelle zur Konfiguration des Routers. Diese Funktionen sind laut Anbieter von außen nicht erreichbar und von innen durch ein Passwort geschützt. Der Medienserver ist zudem nur auf Wunsch aktiv, so die Telekom.
Auch Fritz-Boxen sind sicher
Die ebenfalls weit verbreiteten AVM-Router sind ebenfalls sicher, wie uns AVM erklärte. Auch hier ist ein Angriff via UPnP von außen nicht möglich. Laut AVM liegt das daran, dass die Libupnp-Bibliothek von AVM noch nie eingesetzt wurde. Zudem gilt für die eigene Konfiguration und Implementation, dass die Firewall immer aktiv und UPnP von außen nicht zugänglich ist.
AVM-Produkte werden in Deutschland häufig mit Internetanschlüssen gebündelt. Provider liefern die Boxen an die Kunden, manchmal mit reduziertem Funktionsumfang. Auch im Handel ist AVM hierzulande mit seinen Fritz-Boxen stark vertreten.
Quelle: www.golem.de
-
Der Sicherheitsexperte Michael Messner hat mehrere Lücken in den D-Link-Router DIR-300 und DIR-600 entdeckt, darunter eine durch die ein Angreifer mit geringem Aufwand beliebige Befehle ausführen kann. Betroffen sind auch aktuelle Firmware-Versionen; doch schließen will der Router-Hersteller die Lücke offenbar nicht.
Der ganze Artikel (http://www.heise.de/security/meldung/Sicherheitsalarm-fuer-D-Link-Router-1796519.html)
Quelle : www.heise.de
-
Das Landeskriminalamt Niedersachsen hält die Schwachstellen in einigen D-Link-Routern für ein ernstzunehmendes Risiko und überprüft derzeit, ob die Nutzer der betroffenen Geräte zur Gefahrenabwehr gewarnt werden müssen. Verwundbar sind die beiden D-Link-Modelle DIR-300 und DIR-600 – auch mit den jeweils aktuellen Firmware-Versionen.
Gegenüber heise Security erklärte das LKA, es sei den am vergangenen Dienstag veröffentlichten Hinweisen nachgegangen und könne bestätigen, dass die Schwachstellen sehr leicht auszunutzen sind. Ferner konnten die Spezialisten auf Anhieb 80 verwundbare D-Link-Router in Deutschland aufspüren.
Aktuell untersucht das LKA, ob es notwendig ist, die Betreiber der verwundbaren Router zu kontaktieren, um auf die drohende Gefahr durch Hackerangriffe aufmerksam zu machen. Das hängt vor allem davon ab, wie schnell D-Link das Problem in den Griff bekommt – und das ist bislang schwer abzuschätzen, da es noch keine offizielle Stellungnahme gibt.
Vor unserer Berichterstattung hieß es noch, dass es sich bei den von Michael Messner entdeckten Lücken um ein Sicherheitsproblem im Browser handelt, gegen das man nichts unternehmen wolle. Nach unserer Tickermeldung hat D-Link anscheinend begonnen, einen zweiten Blick auf die Schwachstellen zu werfen. Eine Sprecherin des Unternehmens erklärte uns telefonisch immerhin schon, dass es an der Sache "dran" sei.
Update: D-Link hat uns mitgeteilt, dass noch im Laufe des heutigen Tages ein Firmware-Update erscheinen soll, das die Schwachstellen schließt.
Quelle : www.heise.de
-
Der Netzwerkausrüster D-Link hat am Mittwochabend doch Firmwareupdates für die Modelle DIR-300 und DIR-600 veröffentlicht, um kritische Lücken abzudichten. Zuvor hatte heise Security berichtet, dass ein Angreifer diese Router mit minimalem Aufwand aus der Ferne steuern und etwa das Zugangspasswort auslesen kann. Da der Hersteller zunächst keinen Patch liefern wollte, hatte sich sogar das LKA Niedersachsen eingeschaltet. Es befürchtete offenbar, dass die Besitzer der betroffenen Geräte reihenweise Opfer von Hackerangriffen werden.
Der ganze Artikel (http://www.heise.de/security/meldung/D-Link-schliesst-hochkritische-Router-Luecken-1799260.html)
Quelle : www.heise.de
-
Der Sicherheitsexperte Michael Messner hat in seinem Blog Details zu Schwachstellen in zahlreichen Router-Modellen veröffentlicht. Betroffen sind Geräte von Linksys, Netgear – und erneut D-Link. Einige Lücken eigenen sich zum Einschleusen von Befehlen aus der Ferne
In der Firmware der Linksys-Modelle E1500 und E2500 entdeckte Messner gleich mehrere Sicherheitsprobleme. So kann man etwa über den URL-Parameter ping_size beliebige Linux-Kommandos auf dem Router ausführen. Hierzu muss man zwar gegenüber den Webinterface authentifiziert sein. Dazu genügt eine in einem anderen Tab aktive Browsersitzung oder der Nutzer hat das Standardpasswort nicht geändert.
Es ist nicht erforderlich, dass das Webinterface von Außen erreichbar ist. Ein Angreifer könnte sein Opfer in spe auf eine speziell präparierte Webseite locken, die auf die Router-Oberfläche im lokalen Netz verweist (Cross Site Request Forgery, CSRF). Messner hat die Lücken in der derzeit aktuellen E1500-Firmware 1.0.05 verifiziert und zumindest das Einschleusen der Befehle auch in der E2500-Firmware 1.0.03 nachvollzogen. Linksys hat er nach eigenen Angaben bereits im Oktober vergangenen Jahres über die Lücken informiert – gepatcht wurden die Lücken bislang trotzdem nicht.
Der ganze Artikel (http://www.heise.de/security/meldung/Viele-Router-Luecken-wenig-Patches-1799954.html)
Quelle : www.heise.de
-
Diverse WLAN-Zugangsgeräte weisen mehr oder weniger riskante Sicherheitslücken auf. Darauf weist der deutsche Sicherheitsexperte Michael Messner in seinem Blog (http://www.s3cur1ty.de/node?page=1) hin. Er hatte bereits vor wenigen Tagen Schwachstellen in Geräten von Linksys, Netgear und D-Link aufgedeckt.
Die jetzt beschriebenen Lücken betreffen die Accesspoints EW-7206APg und EW-7209APg von Edimax sowie TL-WA701N von TP-Link, den Linksys-Router WRT160N, Netgears ADSL-Modem DGN2200B, sowie die Raidsonic-NAS IB-NAS5220 und IB-NAS4220-B. In allen Fällen hat Messner die Firmen bereits vor mehreren Wochen von den Fehlern unterrichtet. Bisher gab es jedoch entweder gar keine Reaktion (TP-Link), der Hersteller will kein Update bereitstellen (Edimax, Raidsonic) oder lieferte Updates ohne nähere Informationen über Korrekturen (Netgear).Linksys reagierte fast zwei Monate lang gar nicht.
Bei den Schwachstellen gibt es eine breite Palette vom Auslesen der Passwort-Dateien ohne Authentifizierung (TP-Link) über die Ausführung beliebiger Shell-Befehle (Raidsonic und Netgear jeweils ohne Authentifizierung, bei Linksys mit Authentifizierung) bis hin zum Speichern von Passwörtern im Klartext (Netgear). Auch Cross-Site-Scripting-Angriffe (XSS) sind bei vielen Geräten möglich.
Quelle : www.heise.de
-
Entgegen dem Motto "Tue Gutes und rede darüber" hat D-Link im November vergangenen Jahres kritische Lücken in seinem büchsenförmigen WLAN-Router DIR-645 geschlossen, ohne es seinen Kunden mitzuteilen. Wer im Kundenbereich nach Firmware-Updates schaut, findet dort eine Version 1.03b11 vom 12. Oktober vergangenen Jahres, die im beigefügten Changelog unter anderem Verbesserungen in puncto IPv6 und iOS-6-Kompatibilität verspricht. Hinweise auf sicherheitsrelevante Änderungen gibt es nicht – hat der Router bislang fehlerfrei seinen Dienst verrichtet, wird man wohl kaum das Bedürfnis verspüren, das Update einzuspielen. Auch auf der eigens eingerichteten Sicherheitsseite erwähnt der Hersteller das Update nicht.
Der ganze Artikel (http://www.heise.de/security/meldung/D-Link-schliesst-Router-Luecken-und-schweigt-1814843.html)
Quelle : www.heise.de
-
Polnische Sicherheitsexperten haben in einigen Router-Modellen des Herstellers TP-Link eine heimtückische Hintertür entdeckt. Ruft man eine spezielle URL auf, reagiert der Router, indem er vom aufrufenden Rechner eine Datei herunterlädt und ausführt, berichtet Michał Sajdak von Securitum.
Sendet der Browser einen HTTP-GET-Anfrage an http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html baut der angesprochene Router demnach ohne weitere Nachfragen eine Verbindung zum TFTP-Server seines Besuchers auf, lädt von dort eine Datei namens nart.out herunter und führt diese als Root aus. Allerdings funktioniert dies im Normalfall nur innerhalb des lokalen Netzes; ein Exploit über Bande, wie bei CSRF-Problemen dürfte an dem erforderlichen TFTP-Server scheitern, der ja im LAN erreichbar sein muss.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Heimtueckische-Hintertuer-in-TP-Link-Routern-1822434.html)
Quelle : www.heise.de
-
Für die D-Link Router DIR-645 Rev. A1, DIR-600 Rev. B1 und B2 sowie DIR-600 Rev. B5 stellt der Hersteller neue Firmware bereit, die teils kritische Sicherheitslücken schließen soll. Eine Übersichtsseite der neuen Firmware-Versionen liefert allerdings nur spärliche Informationen zur Natur der Lücken; D-Links Security-Seite enthält nur ganz allgemeine Ratschläge.
Nach Auskunft des Herstellers führen "fast alle Router-Administrationsoberflächen" eine automatische Prüfung auf FW-Updates durch, die den Anwender über das Vorhandensein der Aktualisierungen informiert. Welche Anwender sich immer noch selbst um ihre Updates kümmern müssen, verrät D-Link allerdings nicht.
Der ganze Artikel (http://www.heise.de/security/meldung/Ein-weiterer-Schwung-von-Sicherheits-Updates-fuer-D-Link-Router-1836388.html)
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/1/0/1/3/0/2/8/sitecom-shodan-s-7efa1ba0ff1e3ac8.png)
Auch wenn es kaum noch überrascht, ist es doch nach wie vor schockierend, was für mitunter haarsträubende Schwachstellen in verbreiteten Router-Modellen schlummern. Beim Sitecom WLM-3500 etwa gibt es gleich zwei undokumentierte Backdoor-Accounts, durch die man auf triviale Weise an Admin-Rechte kommt und den Router beliebig umkonfigurieren kann. Verwundbare Geräte muss man nicht lange suchen: Wir fanden auf Anhieb über 10.000 potenziell angreifbare Router, das Gros davon in Italien.
Der ganze Artikel (http://www.heise.de/security/meldung/Und-taeglich-gruesst-die-Router-Luecke-1846882.html)
Quelle : www.heise.de
-
Der Netzwerkausrüster D-Link hat sicherheitsrelevante Firmware-Update für fünf seiner Router und sieben Netzwerkkameras herausgegeben. Während die behobenen Router-Lücken stark an bereits zuvor geschlossene Schwachstellen in anderen Modellen erinnern, lauert bei Kameras eine skurrile Überraschung: Der unbefugte Beobachter konnte den Kamera-Stream nicht nur als Videostream abgreifen, sondern auch als ASCII-Art.
Entdeckt wurden die Schwachstellen in den Netzwerkkameras von Core Security. In Ihrem Advisory schildern die Sicherheitsexperten, dass ein Angreifer auf vielfältige Art und Weise ohne Authentifizierung auf den Kamerastream zugreifen kann. Entweder als HTTP- oder RTSP-Stream oder auch als ASCII-Animation. Letzteres kommt dadurch zustande, dass die Kameras Belichtungswerte ungeschützt über das Skript lums.cgi ausgeben. Außerdem kann man Befehle über das Webinterface der Kamera einschleusen. Und dann gibt es auch noch fest in die Firmware eingegossene Zugangsdaten – eine Backdoor.
Der ganze Artikel (http://www.heise.de/security/meldung/D-Link-Updates-sollen-ASCII-Voyeure-aussperren-1855325.html)
Quelle : www.heise.de
-
Die Deutsche Telekom hat eine Sicherheitslücke im WLAN-Router Speedport LTE II gefunden. Angreifer könnten dadurch die Bandbreite einschränken. Ein dringend empfohlenes Update zur Behebung des Problems steht bereit.
Die Deutsche Telekom hat festgestellt, dass der WLAN-Router Speedport LTE II eine Sicherheitslücke hat. "Durch die Schwachstelle wäre es einem Angreifer möglich, die dem Nutzer zur Verfügung stehende Bandbreite einzuschränken", erklärte das Unternehmen.
Die Router Speedport LTE und Speedport HSPA seien nicht betroffen. Zur Behebung des Problems hat die Telekom ein Softwareupdate für die Firmware des Speedport LTE II zum Download (http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/FAQ/theme-481523839/Speedport-LTE-II) bereitgestellt und empfiehlt allen Nutzern des Speedports LTE II, das Softwareupdate umgehend einzuspielen.
Hersteller des Speedport LTE II ist der chinesische Telekommunikationsausrüster Huawei.
Die betroffenen Kunden werden auch per E-Mail von der Telekom benachrichtigt und können sich bei Problemen mit der Installation der neuen Firmware an die kostenfreie Hotline unter 0800 3306007 wenden.
Ende März 2013 hatten zwei Sicherheitsprojekte zahlreiche Router untersucht und teilweise erschreckende Sicherheitslücken gefunden. Die getesteten Geräte stammten unter anderem von Belkin, Linksys, Netgear und Sitecom. Die italienische Firma eMaze entdeckte dabei im dort verbreiteten Router WLM-3500 eine Hintertür.
In der Firmware dieses Geräts sind ab Werk zwei Benutzerkonten angelegt, mit denen sich Nutzer auch über das Internet in die Weboberfläche einloggen können. Danach ist es auf einfache Weise möglich, auch Adminrechte auf dem Gerät zu erlangen und somit das vermeintlich private Netz wie das eigene zu behandeln und auch beliebigen Traffic über den Router umzuleiten. Die Sicherheitsforscher des US-Unternehmens IMS hatten 13 Geräte untersucht und fanden bei allen Schwachstellen.
Quelle : www.golem.de
-
Viele Consumer-Geräte lassen sich per Web-Interface bequem konfigurieren, doch sie haben teilweise haarsträubende Sicherheitslücken. Insbesondere die Router sind angreifbar. Aber die Hersteller reagieren kaum, sagt Sicherheitsexperte Michael Messner.
Wahre Horrorgeschichten hat der Sicherheitsexperte und Pentester Michael Messner in seinem Vortrag auf der Sigint 2013 in Köln erzählt. "Alle Verbrechen, die in den vergangenen 15 Jahren in der IT-Security begangen wurden, finden sich auch in den Routern", sagte Messner. Bereits im Frühjahr hatte er auf gefährliche Sicherheitslücken aufmerksam gemacht, die D-Link zu einem Update zwangen. Auf der Sigint zeigte Messner in seinem sehr unterhaltsamen Vortrag auch ein neues Angriffsszenario anhand von Universal Plug-and-Play (UPnP).
Der ganze Artikel (http://www.golem.de/news/router-sicherheit-horrorgeschichten-aus-dem-heimischen-lan-1307-100240.html)
Quelle : Quelle : www.golem.de
-
Der Sicherheitsexperte Michael Messner hat erneut eine kritische Schwachstelle in zahlreichen Routern von D-Link entdeckt. Über speziell präparierte POST-Request kann ein Angreifer offenbar beliebige Befehle in die Modelle DIR-300 Rev B, DIR-600 Rev B, DIR-645, DIR-845, DIR-865 einschleusen. Nach Angaben des Sicherheitsexperten sind unter Umständen auch andere Modell betroffen. Die Lücke im klafft UPnP-Modul der Router.
Messner weist darauf hin, dass bei einigen Modellen das Download-Tool wget installiert ist. Ein Angreifer kann es potenziell missbrauchen, um den Router Schadcode aus dem Internet nachladen zu lassen und anschließend auszuführen. Der Experte erklärte gegenüber heise Security, dass er derzeit an einem Metasploit-Modul arbeitet, mit dem man selbst überprüfen kann, ob ein Router verwundbar ist.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/D-Link-Router-mit-schwerwiegender-UPnP-Luecke-1914510.html)
Quelle : www.heise.de
-
In etlichen Asus-Routern klaffen offenbar kritische Sicherheitslücken, durch die ein Angreifer aus der Ferne die volle Kontrolle übernehmen kann, wie der Security-Experte Kyle Lovett der Mailingliste Bugtraq berichtet. Ein wunder Punkt ist der Medienserver AiCloud. Ist dieser aktiv, macht er Unbefugten kritische Systemdateien über das Internet zugänglich – darunter auch solche, die Zugangsdaten im Klartext enthalten.
(http://www.heise.de/imgs/18/1/0/5/0/1/3/9/asusperm-s-3dc774d2d063ea4f.png)
Ein Angreifer kann mit den Zugangsdaten auf die persönlichen Dateien des Router-Besitzers zugreifen, die auf angeschlossenen USB-Geräten gespeichert sind. Darüber hinaus könnte er sich über die AiCloud unter Umständen auch auf die Netzwerkfreigaben anderer Rechner im Netz des Routers weiterhangeln.
Laut Lovett erlauben die Lücken auch einen Schreibzugriff auf die Systemdateien, wodurch ein Angreifer zum Beispiel einen VPN-Tunnel in das Router-Netz einrichten kann. Darüber hinaus könnte der Eindringling sämtlichen Traffic abgreifen, der den Router passiert.
Der ganze Artikel (http://www.heise.de/security/meldung/Kritische-Schwachstellen-in-zahlreichen-Asus-Routern-1918131.html)
Quelle : www.heise.de
-
Allzu einfach hat es sich Vodafone mit der Sicherheit der EasyBox-Router gemacht. Nachdem bereits vor zwei Jahren eine Methode zum Knacken des voreingestellten WPA-Passworts bekannt wurde, gelang nun der Angriff auf den WLAN-Einrichtungsmechanismus WPS. Das Bundesamt für Sicherheit in der Informationstechnik stuft die Lücke als kritisch ein.
Kernpunkt des Problems: Die voreingestellten Passworte wurden alleine aus der MAC-Adresse der Geräte berechnet. Aufgrund dieser Tatsache war es schon bisher möglich, die voreingestellten WPA-Passworte zu errechnen. Die von Stefan Viehböck von SEC Consult ermittelte Schwachstelle geht allerdings darüber hinaus. Selbst wenn der Endkunde das WPA-Passwort geändert hat, können Angreifer über WiFi Protected Setup (WPS) Zugriff auf den Router erhalten.
Dazu wäre eigentlich ein Code erforderlich, der auf vom Router abgelesen werden muss. Viehböck konnte diese WPS-ID jedoch mit einem einfachen Python-Script aus der BSSID-Kennung errechnen, mit der sich der Router per WLAN identifiziert. Damit kann jeder in Reichweite des WLANs alle notwendigen Informationen erhalten, um sich einzuloggen. Hat ein Angreifer einmal Zugriff auf den Router erlangt, kann er nicht nur den Internetzugang nutzen, sondern auch das Heimnetz des Nutzers angreifen, um beispielsweise über Man-in-the-middle-Attacken Passwörter abzuhören.
Vodafone wurde bereits im Dezember 2012 auf das Problem aufmerksam gemacht, hat die Lücke bisher aber nicht geschlossen. Betroffen sind die Modelle EasyBox 802 und die vor Juli 2011 produzierten Geräte des Typs EasyBox 803. Das Bundesamt für Sicherheit in der Informationstechnik rät als Workaround dazu,die WPS-PIN zu ändern, WPS zu deaktivieren und obendrein das bestehende Passwort für die WLAN-Verschlüsselung zu ändern. Das Bundesamt schließt nicht aus, dass auch weitere Geräte der Zulieferer Arcadyan beziehungsweise Astoria Networks von der Lücke betroffen sind.
Update 06.08.2013 um 8:10 Uhr: Inzwischen hat Vodafone Nachbesserung versprochen. Gegenüber heise Security erklärte ein Unternehmenssprecher: "Derzeit arbeitet Vodafone mit Hochdruck an der neuen Firmware für die älteren EasyBoxen." Nach dem Update soll ein Zugriff auch dann nicht möglich sein, wenn Kunden die Zugangsdaten im Router nicht ändern.
Quelle : www.heise.de
-
c't ist auf eine Gruppe von manipulierten Routern gestoßen, die den Datenverkehr ihrer Nutzer ausspionieren. Die bisher noch unbekannten Angreifer haben auf die Geräte aus der Ferne eine manipulierte Firmware eingespielt, die ein Schnüffelprogramm enthält. Das Tool ist darauf spezialisiert, Zugangsdaten aus dem Netzwerkverkehr zu extrahieren. Die gesammelten Daten haben die Router anschließend bei den Drahtziehern abgeliefert.
Das Router-Botnet war international aktiv und hat auch zahlreiche Opfer in Deutschland gefunden. So hat etwa einer der Router in einer deutschen Anwaltskanzlei die Zugangsdaten von sämtlichen Mail-Accounts der dort tätigen Juristen weitergegeben. c't hat nach hausinterner Untersuchung des Vorgangs das LKA Niedersachsen detalliert in Kenntnis gesetzt, sodass in der Folge viele Opfer identifiziert und gewarnt werden konnten. Schließlich konnten so auch die ermittelten Control-Server, die die Router gesteuert haben, vom Netz genommen werden.
Eine eingehende Analyse der Attacke und des Router-Botnets finden Sie in der aktuellen c't 21/13:
Aufstand der Router, Hinter den Kulissen eines Router-Botnets (http://www.heise.de/ct/artikel/Aufstand-der-Router-1960334.html)
Quelle : www.heise.de
-
In einer Reihe von D-Link-Routern wurde eine Hintertür entdeckt, die es einem Angreifer erlaubt, die Passwortabfrage des Web-Interface zu überspringen – einfach durch das Ändern des User Agent im Browser. Ein Angreifer im Netz des Routers kann so sämtliche Einstellungen des Gerätes manipulieren. Ist die WAN-Konfiguration aktiviert, so ist dieser Angriff auch über das Internet möglich. Entdeckt hatte die Schwachstelle die Hackergruppe /dev/ttyS0 beim Durchforsten der Router-Firmware 1.13 für die Revision A des DIR-100-Routers.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/D-Link-Router-mit-Hintertuer-1977835.html)
Quelle : www.heise.de
-
Der Router-Hersteller D-Link hat sich zu den Berichten eines Sicherheits-Forschers geäußert, der Hintertüren in einer Reihe von Geräten des Unternehmens entdeckt hatte.
In der heute veröffentlichten Stellungnahme heißt es, dass man dies zum Anlass genommen habe, die erwähnten Modelle zu überprüfen. Die aktuell im deutschsprachigen Raum zum Verkauf stehenden Router-Modelle seien von dem Problem nicht betroffen, so das Ergebnis.
Konkret kam die deutsche Niederlassung von D-Link zu dem Ergebnis, dass die aktuell oder zu einem früheren Zeitpunkt erhältlichen Produkte DIR-100 (Revision D), DIR-615, DI-524 (Revision B) und DI-524/DE (Revision B) nicht von der Sicherheitslücke betroffen sind oder waren. Die von dem Sicherheitsforscher ebenfalls aufgeführten Produkte DI-604S, DI-604UP, DIR-604+ sowie TM-G5240 wurden nicht in Deutschland, Österreich und in der Schweiz verkauft.
Die Router DIR-100 (Revision A) und DI-524UP seien hingegen von der gemeldeten Backdoor betroffen. Sie werden jedoch seit längerer Zeit nicht mehr in Deutschland, Österreich und in der Schweiz verkauft, so der Hersteller. Allerdings besteht durchaus die Möglichkeit, dass entsprechende Systeme noch im Einsatz sind und von Angreifern über einen Netzwerkscan gefunden werden können.
Für die zuletzt genannten Modelle erstellt D-Link daher Firmware-Updates, die die Sicherheitslücke beheben sollen. Diese steht nach den bisherigen Schätzungen Anfang November zur Verfügung. Nutzern, die die Remote Management Funktion aktiviert haben, wird empfohlen, diese bis dahin zu deaktivieren, um sich gegen aktive Angriffe aus dem Internet zu schützen, hieß es.
Die Hintertür war offenbar von einem der Firmware-Entwickler hinterlassen worden, um jenen, die Kenntnis von der genauen Vorgehensweise hatten, einen Zugriff auf die Systemeinstellungen der Router zu geben, ohne, dass man sich mit einem Passwort anmelden muss.
Quelle : http://winfuture.de
-
Sicherheitsforscher Zach Cutlip hat eine Hintertür im Webinterface des Netgear Routers WNDR3700v4 entdeckt. Besucht man eine spezielle Webseite auf dem Gerät, erlaubt der Router dem Nutzer von da an, ohne Eingabe von Benutzername und Passwort auf alle Funktionen des Routers zuzugreifen. Diese Zugriffsrechte überstehen sogar einen Neustart des Routers. Ist Fern-Administration über das Internet aktiviert, kann der Router problemlos aus dem Internet gekapert werden.
Es stellt sich heraus, dass die von Cutlip gefundene Sicherheitslücke eine Variante der Hintertür ist, die im April in Netgears Modell WNDR4700 gefunden wurde. Surft man auf einem betroffenen Router die Webseite BRS_02_genieHelp.html im Hauptverzeichnis des Webservers an, kann man von da an ohne Authentifizierung auf die Administrator-Einstellung des Routers zugreifen. Cutlip glaubt, dass außer den Modellen WNDR3700v4 und WNDR4700 auch die 3800er Serie betroffen sein könnte. In einem kurzen Test konnte heise Security die Lücke in der Version 2 des WNDR3700 nicht bestätigen. Auch Netgears Modell WND24500 scheint nicht betroffen.
Der ganze Artikel (http://www.heise.de/security/meldung/Neue-und-alte-Router-Luecken-bei-Netgear-Tenda-und-DrayTek-1984597.html)
Quelle : www.heise.de
-
D-Link hat Firmware-Updates für eine Reihe von Routern herausgegeben, die eine Hintertür in der Passwortabfrage des eingebauten Webservers schließen. Sicherheitsforscher hatten im Oktober entdeckt, dass eine einfache Änderung des User Agents eines Browsers auf den String "xmlset_roodkcableoj28840ybtide" einen Angreifer dazu befähigt, die Passwortabfrage zu umgehen. D-Link hat dieses Problem nun mit neuen Firmware-Versionen für acht verschiedene Router-Modelle behoben.
Der ganze Artikel (http://www.heise.de/security/meldung/D-Link-schliesst-User-Agent-Hintertuer-2059019.html)
Quelle : www.heise.de
-
Auf einige Routern von Linksys und Netgear läuft offenbar ein undokumentierter Dienst, über den man unter anderem die Konfiguration einschließlich der Klartext-Passwörter auslesen und auch manipulieren kann. Es besteht die Möglichkeit, dass auch Geräte anderer Hersteller betroffen sind.
Der Reverse Engineer Eloi Vanderbeken hat entdeckt, dass sein heimischer Linksys-Router WAG200G über den Port 32764 erreichbar ist. Anschließend nahm er die Router-Firmware mit dem Analyse-Tool binwalker auseinander und konnte schließlich ergründen, was es mit dem lauschenden Dienst auf sich hat. Es handelt sich um eine Konfigurationsschnittstelle, durch die man eine Reihe von Befehlen auf dem Router ausführen kann. Einer der Befehle etwa setzt das Gerät auf Werkeinstellungen zurück, ein anderer spuckt die Router-Konfiguration aus – mitsamt aller Passwörter im Klartext.
Nachdem Vanderbeken seine Informationen ins Netz stellte, meldeten sich Besitzer anderer Modelle, die das Phänomen nachvollziehen konnten. Die Rückmeldungen trägt er bei Github zusammen, wo er auch ein Proof of Concept veröffentlicht hat. Ein erstes Indiz dafür, was es mit dem Dienst auf sich haben könnte, liefert die Zeichenfolge "ScMM", die von den betroffenen Routern nach dem Verbindungsaufbau über Port 32764 gesendet wird. Es könnte sich dabei um eine Abwandlung des Firmennamens SerComm zu handeln. SerComm hat offenbar zumindest einige der betroffenen Geräte als OEM hergestellt. Das Unternehmen soll auch Netzwerkausrüster wie Belkin und LevelOne beliefern. Ob auch deren Router betroffen sind, ist derzeit nicht bekannt.
Zumindest in einigen Fällen scheint der fragliche Dienst nicht nur über das lokale Netz, sondern auch über das Internet erreichbar zu sein. Eine Recherche mit der Spezialsuchmaschine Shodan förderte fast 3000 IP-Adressen zu Tage, die auf Port 32764 antworten; davon rund 60 aus Deutschland. heise Security hat Linksys und Netgear am Donnerstagvormittag um eine Stellungnahme gebeten. In beiden Fällen steht eine Antwort bislang noch aus.
Quelle und Links : http://www.heise.de/security/meldung/Mysterioese-Backdoor-in-diversen-Router-Modellen-2074394.html
-
Nach der Entdeckung des undokumentierten Dienstes, über den man unter anderem bei Routern von Linksys und Netgear die Systemkonfiguration manipulieren kann, wird die Liste der betroffenen Geräte immer länger. Was es mit dem ominösen Dienst auf sich hat, dazu hüllen sich die Hersteller bislang in Schweigen. Ob auch Ihr Router auf dem Port 32764 lauscht, können Sie mit dem Netzwerkcheck von heise Security herausfinden.
Der ganze Artikel (http://www.heise.de/security/meldung/Router-auf-Backdoor-testen-2074844.html)
Quelle : www.heise.de
-
Über eine Woche, nachdem die in zahlreichen Routern enthaltene Backdoor aufgedeckt wurde, melden sich nun auch die Hersteller zu Wort. So erklärte ein Sprecher des zu Belkin gehörenden Netzwerkausrüsters Linksys, dass man sich des Problems bewusst sei und derzeit an einer Lösung arbeite. Linksys ist gleich mehrfach auf der Liste der betroffenen Geräte vertreten. Bei einem der Router, dem WAG120N, soll die undokumentierte Hintertür sogar über das Internet erreichbar sein.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Backdoor-in-Routern-Hersteller-raetseln-und-analysieren-2077308.html)
Quelle : www.heise.de
-
Bei einem Scan über deutsche IP-Adressen fand heise Security über 350 Router, deren komplette Konfigurationsdaten sich direkt auslesen lassen. Darin enthalten: Passwörter für den Admin-Zugang des Routers, das WLAN, den DSL-Zugang, Proxy-Server und DynDNS-Dienste. Sogar Passwörter und Zertifikate für VPNs fanden sich auf einigen Geräten. Dabei sind die anfälligen Router in Deutschland vergleichsweise selten; in anderen Ländern gibt es deutlich mehr betroffene Systeme.
Mysteriöse Backdoor
Ursache dieses massiven Sicherheitsproblems ist eine immer noch mysteriöse Backdoor in Routern verschiedener Hersteller – unter anderem von Cisco, Linksys, Sercomm und Netgear. Bei diesen Routern läuft ein undokumentierter Dienst auf dem TCP-Port 32764, über den sich die Konfiguration des Geräts nicht nur auslesen, sondern sogar ändern lässt – und das ganz ohne Passwort.
In manchen Fällen ist dieser Port sogar auf der Internet-Seite erreichbar. Sehr viel häufiger kann man sie nur aus dem lokalen Netz oder dem WLAN erreichen. Das ist zwar nicht ganz so kritisch, kann sich aber ebenfalls als problematisch erweisen, etwa bei Firmen, in öffentlichen Netzen oder wenn ein Trojaner diese Lücke nutzt, um etwa einen anderen DNS-Server im Router einzutragen und damit den Internet-Verkehr der angeschlossenen Geräte umleiten kann.
Der ganze Artikel (http://www.heise.de/security/meldung/Mysterioese-Router-Backdoor-Viele-tausend-Router-in-Deutschland-haben-eine-Hintertuer-jetzt-testen-2080913.html)
Quelle : www.heise.de
-
Auf der Heiseseite www.heise.de (http://www.heise.de) gibt es einen schönen Portscanner :)
Ich habe dann mal meine Fritzbox (7270) getestet.
Gefiltert u. Geschlossen ist o.k.
-
Die Netzwerk-Gerätehersteller Cisco, Netgear und Linksys bestätigen mittlerweile die Existenz der mysteriösen Backdoor in diversen Geräten. Über diese Hintertür können Angreifer alle Konfigurationsdaten auslesen und auch manipulieren; bei einem Test im Internet fand heise Security Passwörter für den Admin-Zugang der Router, das WLAN, den DSL-Zugang, Proxy-Server und für DynDNS-Dienste. Sogar Passwörter und Zertifikate für VPNs fanden sich auf einigen Geräten.
Cisco will nun bis Ende Januar Updates liefern, die beiden anderen nennen keine Termin für Abhilfe.
In einem Security Advisory bestätigt Cisco das Vorhandensein eines "undokumentierten Test Interface" in einigen Geräten der Small Business Kategorie. Bis Ende Januar will man kostenlose Updates bereitstellen, um das Problem zu beheben, das in der höchstmöglichen Gefahrenstufe (CVSS Score 10.0) einsortiert wurde. Einen Workaround nennt Cisco nicht – wie sich die betroffenen Kunden bis dahin schützen sollen, bleibt somit ihr eigenes Problem. Konkret betroffen sind laut Cisco folgende Modelle:
Cisco RVS4000 4-port Gigabit Security Router bis Firmware 2.0.3.2
Cisco WRVS4400N Wireless-N Gigabit Security Router 1.0, 1.1 bis Firmware 1.1.13
Cisco WRVS4400N Wireless-N Gigabit Security Router 2.0 bis Firmware 2.0.2.1
Cisco WAP4410N Wireless-N Access Point bis 2.0.6.1
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Router-Backdoor-Cisco-Netgear-und-Linksys-versprechen-Schutz-2084884.html)
Quelle : www.heise.de
-
Im Netz sind IP-Adressen für zehntausende verwundbare Asus-Router aufgetaucht. Unter dem Titel "#ASUSGATE" veröffentlichten Unbekannte zudem Listen mit privaten Dateien auf angeschlossenen USB-Geräten.
Eine Gruppe Unbekannter hat mehr als 12.000 IP-Adressen von angreifbaren Asus-Routern veröffentlicht. In den Geräten klaffen Sicherheitslücken, die es Angreifern aus dem Internet erlauben, die Router komplett unter ihre Kontrolle zu bringen. Angreifer erhalten so auch Zugriff auf persönliche Dateien auf am Router angeschlossenen USB-Geräten. In Anlehnung an den Watergate-Skandal nennen die Unbekannten ihre Veröffentlichung "#ASUSGATE". Heise Security hat bei Stichproben festgestellt, dass die veröffentlichten Daten tatsächlich echt sind. Unter den IP-Adressen fanden sich offene FTP-Server mit Asus-Kennung und teilweise sensiblen Daten wie etwa Komplett-Backups von Windows-PCs.
Der ganze Artikel (http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben-private-Dateien-preis-2105778.html)
Quelle : www.heise.de
-
Nach ersten Fällen von Telefonie-Missbrauch halten Angriffe auf Fritzboxen über die Fernkonfiguration an. Um Schäden vorzubeugen, sollen Fritzbox-Nutzer die Funktion vorübergehend deaktivieren.
Vor ein paar Tagen wurden vereinzelte Fälle von Missbrauch der Telefonie-Funktion von Fritzboxen bekannt. Die Angriffe erfolgten über die per Browser mit HTTPS mögliche Fernkonfiguration mit bekannten Zugangsdaten. Laut AVM halten die Attacken seitdem auf niedrigem Niveau an.
AVM untersucht noch, woher die dafür verwendeten gültigen Zugangsdaten stammen. Um weiteren Schäden vorzubeugen, empfiehlt der Fritzbox-Hersteller allen Nutzern, die die Fernkonfiguration verwenden, diese Funktion vorübergehend abzuschalten und die Zugangsdaten zu ändern. Das Gleiche gilt für den myfritz-Dienst.
Ferner soll man andere in der Fritzbox hinterlegte Zugangsdaten, etwa für den Push-Mail-Dienst für automatische Statusmeldungen, überprüfen und gegebenenfalls ändern. Weitere Hinweise will AVM in den nächsten Stunden auf seinen Sicherheitsseiten (http://avm.de/de/Sicherheit/) veröffentlichen.
Siehe dazu auch:
Telefonie-Missbrauch anscheinend kein Massenhack von AVMs Fritzboxen (http://www.heise.de/newsticker/meldung/Telefonie-Missbrauch-anscheinend-kein-Massenhack-von-AVMs-Fritzboxen-2104609.html)
Quelle : www.heise.de
-
AVM hat den für Telefoniemissbrauch benutzten Angriffsweg nachvollzogen und bereitet Firmware-Updates für Fritzboxen vor, die am Wochenende erscheinen sollen.
Bei der Analyse der Telefonie-Missbräuche über die Fritzbox-Fernkonfiguration hat der Hersteller AVM herausgefunden, dass anders als zunächst vermutet doch keine auf anderen Wegen beschafften Zugangsdaten verwendet wurden. Offenbar haben die Angreifer einen Weg gefunden, die Authentifizierung beim Fernzugriff per Browser zu umgehen.
Als Gegenmaßnahme bereitet AVM derzeit Firmware-Updates für alle aktuellen Fritzboxen vor. Die Updates sollen gestaffelt in den nächsten Tagen erscheinen. Wann ein Update für welchen Gerätetyp zur Verfügung steht, will AVM auf seiner Sicherheitsseite fortlaufend ankündigen.
Update unbedingt einspielen
Alle Fritzbox-Nutzer sollten das Update einspielen. Bis das geschehen ist, bleibt es bei der Empfehlung, den Fernzugang abgeschaltet zu lassen. Ferner sollten Sie sicherheitshalber nicht nur das Konfigurationspasswort, sondern auch andere in der Box hinterlegte Zugangsdaten ändern, etwa solche für Push-E-Mail-Statusmeldungen oder externe SIP-Zugänge.
Wer eine vom Provider bereitgestellte Fritzbox verwendet, beispielsweise das Modell 6360 von Kabel Deutschland oder den Homeserver von 1&1, muss mit dem Reaktivieren des Fernzugangs warten, bis der Provider ein Update bereitstellt beziehungsweise von sich aus per TR-069-Fernkonfiguration einspielt.
Quelle : www.heise.de
-
Wer ne 7390 hat sollte mal das Update anwerfen ;)
-
AVM arbeitet mit Hochdruck daran, allen Kunden ein Software-Update zu liefern, das eine kürzlich bekannt gewordene Sicherheitslücke behebt.
Der deutsche Routerhersteller AVM arbeitet auch am heutigen Samstag daran, eine Sicherheitslücke zu schließen, die einen Zugriff aus dem Internet auf VoIP-Konten einer Fritzbox ermöglicht. In kurzen Abständen veröffentlichte das Unternehmen Firmware-Updates für verschiedene Modelle. Nachdem am gestrigen Freitag Abend noch Updates für die Fritzbox 7490 und 7390 erschienen waren, hat AVM im Laufe dieses Tages neue Firmware für die Modelle 7270v2/v3, 7240 und 3272 bereitgestellt. Ein Leser berichtete uns, es sei nach dem Update auf einer 7390 nicht mehr möglich gewesen, den IPv6-Tunneldienst SixXS einzurichten. Wir konnten dieses Problem bei einem eigenen Gerät allerdings nicht nachvollziehen.
Für die Typen 7360 und 7340 gibt es zwar schon ein Update für Geräte, die in der Schweiz und Österreich sowie in anderen Ländern verkauft werden, bislang nicht aber für die deutschen Modelle. AVM begründet das damit, dass diese Typen international deutlich stärker verbreitet sind als hierzulande. Das Unternehmen versucht, möglichst viele Kunden schnell mit Updates zu versorgen und arbeitet dabei eine Prioritätenliste ab.
Eine Liste, welche Modelle von der Sicherheitslücke betroffen sind, hat uns AVM bislang noch nicht zur Verfügung gestellt. Dem Vernehmen nach hat der Provider 1&1 damit begonnen, Updates für die eigenen Kunden per TR-069 auszuliefern, allerdings liegen uns noch keine Informationen darüber vor, welche Router-Modelle das betrifft. Für die Fritzboxen 6360, 6340 und 6320 Cable, die diverse Kabelprovider einsetzen, liegt bislang anscheinend noch kein Update vor.
Quelle : www.heise.de
-
Die intensive Wochenendarbeit bei AVM trägt Früchte: Der Fritzbox-Hersteller hat inzwischen aktualisierte Firmware-Pakete auch für international genutzte Modelle zum Download bereitgestellt.
In der Entwicklungsabteilung bei AVM dürfte es dieses Wochenende wenig geruhsam zugegangen sein. Nachdem man den Angriffsweg auf den Fernwartungszugang der Fritzboxen nachvollziehen konnte, gab es gestern schon Firmware-Updates für die populärsten Modelle. Inzwischen hat AVM aktualisierte Firmware-Dateien für 19 national und 12 international eingesetzte Modelle fertig.
Für den heimischen Markt betrifft dies die Modelle 3272, 3370, 3390, 6810, 6840, 6842, 7240, 7270 (v2+v3), 7272, 7312, 7320, 7330 SL, 7330 SL, 7360 SL, 7360, 7362 SL, 7390 und 7490. Bei den internationalen Modellen sind dies:3270, 3272, 3370, 3390, 7270 (v2+v3), 7272, 7330, 7340, 7360, 7390 und 7490.
AVM rät allen Betroffenen, die neue Firmware umgehend einzuspielen. Aktualisierungen für die in Kabelnetzen eingesetzten Modelle 6320, 6340 und 6360 will AVM "schnellstmöglich" in Zusammenarbeit mit den dortigen Netzbetreibern zur Verfügung stellen.
Quelle : www.heise.de
-
Nachdem AVM übers Wochenende Firmware-Updates für mehr als 30 Fritzbox-Modelle herausgebracht hat, sind fast alle Lücken gestopft. Einzelne Updates werden aber auch in den nächsten Tagen nachgereicht.
Die letzten drei Tage dürften einige Software-Entwickler Überstunden geschoben haben: Seit Freitagnachmittag erschienen Firmware-Updates für über 30 Router-Modelle. Selbst für alte Fritzboxen wie das Modell 7170 hat AVM inzwischen ausgebesserte Firmware bereitgestellt. Ob auch ein Update für die Fritzbox 7570, einen der ersten VDSL-Router, erscheint, ist noch in Klärung. Das Modell 3170 wird laut AVM indes kein Update bekommen, da dieser Router keine Telefoniefunktion hat.
Der ganze Artikel (http://www.heise.de/netze/meldung/Fritzbox-Hack-Firmware-Updates-auch-fuer-einzelne-Altgeraete-2110186.html)
Quelle : www.heise.de
-
Kabel Deutschland hat in der Nacht damit begonnen, Updates für die Fritzbox 6360 vorzunehmen, um eine Sicherheitslücke zu stopfen. Unity Media/Kabel BW und manche kleineren DSL-Provider sind noch nicht so weit.
AVM hat den Kabelnetzbetreibern Updates für die Kabel-Versionen der Fritzbox bereitgestellt, die eine kürzlich bekannt gewordene Sicherheitslücke stopfen. Die Kabelprovider haben die Updates ihren Kunden jedoch nicht sofort bereitgestellt, sondern zunächst intern getestet. Normalerweise dauert dieser Prozess einige Wochen, die drohenden Schäden sowohl für die Kunden als auch das eigene Image beschleunigen den Prozess aber offenbar deutlich. Stellt der Provider den Router bereit, können Kunden selbst kein Update vornehmen, sondern müssen warten, bis sie es erhalten.
In der vergangenen Nacht begann nun Kabel Deutschland als erster großer Kabel-Provider damit, das Update an seine Kunden zu verteilen. Im Laufe des Tages sollten die Kunden nach und nach damit versorgt werden. Unity Media Kabel BW ist hingegen noch nicht so weit. Auf Anfrage versicherte das Unternehmen, man werde die Aktualisierung schnellstmöglich zur Verfügung stellen, sobald abschließende Kompatibilitätstests erfolgreich abgeschlossen seien. Der Dringlichkeit des Updates sei man sich bewusst. Bis dahin rate man Kunden dazu, den Fernzugang auf den Fritzboxen zu deaktivieren.
Aber auch einige DSL-Provider überlassen dem Kunden nicht die Verantwortung, Updates zu installieren, sondern behalten in diesem Punkt die Kontrolle über den Router ihrer Kunden. Der Regionalanbieter EWE Tel beispielsweise will für seine Kunden noch in dieser Woche ein Update für die Fritzbox ausliefern, sobald die obligatorischen Kompatibilitätstests abgeschlossen sind. Die Fernkonfiguration, die zu einem Angriff auf die Box genutzt werden kann, sei im Lieferzustand ausgeschaltet, bislang habe man keine Schadensfälle verzeichnet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt unterdessen Kunden und Providern in einer Pressemitteilung dringend, das aktuelle Update sofort einzuspielen. Nach einer Schätzung von AVM hat erst ein Fünftel der Anwender das Update vorgenommen. Damit wäre die Mehrzahl der Fritzboxen mit aktivierter Fernkonfiguration immer noch ein lohnendes Angriffsziel.
Quelle : www.heise.de
-
Angreifer können eine Root-Shell auf dem Modemrouter D6300B von Netgear öffnen. Die sogenannte Geardog-Hintertür ist schon länger bekannt. Außerdem lassen sich über UPnP Ports öffnen und Dateien von angeschlossenen Festplatten kopieren.
In Netgears Modemrouter D6300B stecken eine Reihe von öffentlich bekannten, ungepatchten Sicherheitslücken. Betroffen ist die aktuelle Firmware 1.0.0.14 für den deutschen Markt. Aus dem lokalen Netz können Angreifer Schadcode auf dem Gerät ausführen, in dem sie ein speziell präpariertes Paket an den Telnet-Dienst des Routers senden. Außerdem sind die UPnP-Funktionen des Routers ungenügend abgesichert und erlauben Angreifern aus dem lokalen Netz den Zugriff auf am Gerät angeschlossene Festplatten. Auch kann man nach Belieben Ports in der Firewall öffnen.
Der ganze Artikel (http://www.heise.de/security/meldung/Netgear-Router-lassen-sich-aus-dem-Gaestenetz-kapern-2112333.html)
Quelle : www.heise.de
-
Kaum scheinen die Sicherheitslücken bei der in Deutschland weit verbreiteten Fritzbox geschlossen, melden Sicherheitsforscher bei Konkurrenzprodukten von Linksys einen selbstreproduzierenden Schädling.
Das Internet Storm Center des SANS Institute warnt (https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%22+Summary%3A+What+we+know+so+far/17633) vor einer grassierenden Wurm-Epidemie unter WLAN-Routern von Linksys für Heimanwender und kleine Büros. Das ISC nennt die möglicherweise betroffenen Modelle E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 und E900, schließt jedoch weitere nicht aus. Ob ein Gerät für den "The Moon" getauften Schädling anfällig sei, hänge von der Firmware-Version ab. Die aktuelle Version 2.0.06 sei ebensowenig betroffen wie die alternative Firmware OpenWRT.
Dem Hersteller Belkin sei das Problem bekannt, so das ISC. Das Einfallstor sei die Fernwartungsschnittstelle "Home Network Administration Protocol" (HNAP). Ein möglicher Befall gehe mit starkem Datenverkehr einher: Jeder befallene Router suche in großen, typischerweise für Kabel- und DSL-Kunden reservierten Netzbereichen nach weiteren anfälligen Geräten. Momentan nehmen die Forscher an, dass sich die Malware lediglich selbst ausbreitet, schließen aber eine mögliche Fernsteuerungsfunktion wie in einem Botnetz nicht aus. Für Linksys-Anwender empfiehlt es sich als Vorsichtsmaßnahme, HNAP auszuschalten, den Router neu zu starten und die Firmware zu aktualisieren.
Quelle : www.heise.de
-
Die Analyse von heise Security beweist, dass keineswegs ein freigeschalteter Fernzugang erforderlich ist, um eine Fritzbox komplett zu kapern. Das kann im Prinzip eine einfache Web-Seite. Wer es noch nicht getan hat, sollte also schleunigst updaten.
Bislang war in den Erklärungen von AVM zu den kürzlich entdeckten Sicherheitsproblemen der Fritzbox immer von Angriffen über die Fernsteuerfunktion die Rede. Eine Analyse der kürzlich veröffentlichten Sicherheits-Updates durch heise Security bestätigte jedoch unsere Vermutung: Das Problem lässt sich auch ganz einfach ohne die Fernsteuerfunktion ausnutzen. Somit ist die Schwachstelle deutlich gefährlicher, als bislang angenommen.
Mit Unterstützung des Reverse-Engineering-Spezialisten Hanno Heinrichs konnten wir die genaue Position der Schwachstelle in den verwundbaren Firmware-Versionen identifizieren, die AVM bislang nicht weiter dokumentieren wollte. Sie hat nichts mit der Fernsteuerung zu tun. Ein Angreifer erhält durch diese Lücke die vollständige Kontrolle über den Router und kann beliebige Befehle mit Root-Rechten ausführen – und zwar schon dann, wenn das Opfer hinter der Fritz!Box eine Web-Seite mit seinem Schadcode aufruft.
Der ganze Artikel (http://www.heise.de/security/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-Fernzugang-2115745.html)
Quelle : www.heise.de
-
Sehr interessant, AVM hat hat also absichtlich Quatsch erzählt (darf man schon "gelogen" sagen?), um die Kunden in falscher Sicherheit zu wiegen. Ganz großes Kino! >:(
Wenigstens gab es recht schnell ein Sicherheitsupdate.
Trotzdem ein weiteres gutes (schlechtes) Beispiel für die Kategorie: Wie zerstört man das Vertrauen der Kunden am Besten?
Die gelben geflügelten Pinocchios lassen grüßen.
-
Nach langem Hin und Her hat AVM jetzt eine Liste aller Fritzboxen veröffentlicht, die deren genauen Sicherheitsstatus dokumentiert. Für zwei der betroffenen Geräte steht noch kein Update bereit und einige Fragen bleiben weiterhin offen.
Mit einer Übersicht zu den Sicherheits-Updates aller Fritzbox-Router beendet AVM das Rumgeeier, welche Modelle nun für die klaffende Sicherheitslücke der Fritzboxen anfällig sind. Noch am gestrigen Dienstag verwirrte der AVM-Kundendienst besorgte Kunden mit Haarspaltereien, nach denen Geräte ohne Fernwartungszugang von den Angriffen nicht betroffen seien.
Das ist zwar nicht ganz falsch – die bisher bekannt gewordenen Angriffe benötigen tatsächlich den Fernwartungszugang. Fakt ist aber, wie heise Security eindeutig nachweisen konnte, dass bis auf wenige Ausnahmen nahezu alle Geräte (auch ohne Fernwartung) verwundbar sind und deren Nutzer jederzeit zum Opfer von Betrügereien werden können. Die kann im Prinzip schon der Aufruf einer scheinbar harmlosen Web-Seite durchführen.
Der ganze Artikel (http://www.heise.de/security/meldung/Hack-gegen-AVM-Router-AVM-veroeffentlicht-Liste-betroffener-Fritzboxen-2118070.html)
Quelle : www.heise.de
-
Hacker nutzen Sicherheitslücken in Routern der Firma Asus aus, um deren Nutzer mit Hilfe einer Textdatei zu warnen. Darin erklären die Unbekannten den Betroffenen, wie sie ihre Router sichern können.
Unbekannte Hacker haben die #Asusgate-Lücken dazu ausgenutzt, betroffene Nutzer zu warnen, indem sie eine Textdatei auf an deren Routern angeschlossene Festplatten hinterlassen haben. Die Nachrichten wurden angeblich automatisch an verwundbare Systeme geschickt, basierend auf der Liste von über 12.000 IP-Adressen, die Unbekannte Anfang des Monats veröffentlichten.
Der ganze Artikel (http://www.heise.de/security/meldung/Hacker-warnen-ihre-Opfer-vor-Asusgate-2118410.html)
Quelle : www.heise.de
-
Nachdem AVM die Sicherheitslücke bei fast allen Fritzbox-Routern abgedichtet hat, zieht die Deutsche Telekom mit Firmware-Updates für vier Speedport-Modelle nach.
In einigen Ausführungen der Speedport-Router der Deutschen Telekom steckt AVM-Technik: Die Hardware ist bis auf das Platinenlayout und die Gehäusegestaltung so gut wie identisch, die Software wurde stärker angepasst. Manche Geräte lassen sich sogar auf Original-AVM-Firmware umflashen. Nun hat sich bei vier Speedport-Modellen eine sehr ähnliche Lücke wie bei AVM manifestiert.
Der ganze Artikel (http://www.heise.de/netze/meldung/Fritzbox-Luecke-Vier-Speedport-Modelle-der-Telekom-betroffen-2118595.html)
Quelle : www.heise.de
-
Auf den Routern haben zwar längst noch nicht alle Nutzer die Sicherheitslücke gestopft, aber zumindest stehen Firmware-Updates bereit. Nun bessert AVM auch die Software anderer Produkte mit WLAN-Schnittstelle aus.
Die auch indirekt über den Browser ausnutzbare Fritzbox-Lücke betrifft nicht nur die Router: Am Ende einer am Mittwochabend verbreiteten Pressemitteilung gesteht AVM ein, dass der in der gestrigen Stern-TV-Sendung (Video, ab 50. Minute) live demonstrierte Router-Exploit auch bei den Weboberflächen anderer Produkte funktioniert.
Der ganze Artikel (http://www.heise.de/security/meldung/Fritzbox-Luecke-Jetzt-auch-bei-WLAN-Repeatern-2119244.html)
Quelle : www.heise.de
-
Die Serie der Router-Lücken reißt nicht ab: Diesmal hat es den WRT120N von Linksys erwischt. Angreifer können sich einloggen, ohne ein Passwort einzugeben. Bei aktivierter Fernadministration ist dies besonders heikel.
Die Routerhacker von /dev/ttyS0 machen wieder von sich reden. Diesmal haben die Sicherheitsforscher die Firmware des WRT120N-Routers von Linksys auseinandergenommen und darin eine Stack-Overflow-Lücke gefunden. Die Schwachstelle im Webinterface des Routers erlaubt es Angreifern, das Passwort zurückzusetzen und sich einzuloggen. So können sie die Konfiguration des Gerätes nach Belieben ändern.
Der ganze Artikel (http://www.heise.de/security/meldung/Wieder-eine-Routerluecke-Loechriges-Webinterface-beim-Linksys-WRT120N-2119285.html)
Quelle : www.heise.de
-
Die US-Sicherheitsforscher von Team Cymru haben einen groß angelegten Cyber-Angriff auf Router entdeckt, der hunderttausende Geräte betreffen soll. Bei den Geräten wurden die eingestellten DNS-Server ohne Zutun der Router-Besitzer auf die IP-Adressen 5.45.75.11 und 5.45.75.36 geändert. Die sollen unter der Kontrolle der Angreifer stehen, wodurch diese den Datenverkehr ihrer Opfer umleiten und manipulieren können.
Liefert ein DNS-Server etwa zu der Abfrage "google.com" eine IP-Adresse zurück, die gar nicht zu Google gehört, landet das Opfer auf einem völlig anderen Server. Genauso ist vor fast zwei Jahren auch der Schädling DNS-Changer vorgegangen. Im aktuellen Fall konnten die Forscher allerdings noch keine falschen DNS-Antworten feststellen – möglicherweise sind die Angreifer sehr gezielt vorgegangen oder befinden sich noch in der Vorbereitungsphase.
Team Cymru gibt in seinem Bericht an, über 300.000 betroffene Geräte identifiziert zu haben, vor allem in Europa und Asien. Diese Zahl wird allerdings kurz darauf relativiert, demnach habe man bei den beiden DNS-Servern Anfragen von über 300.000 "unique IP addresses" in einem Zeitraum von zwei Wochen beobachtet. Die Zahl dürfte also zahlreiche Dubletten enthalten, nämlich Nutzer mit dynamischen IP-Adressen.
Der ganze Artikel (http://www.heise.de/security/meldung/Grossangriff-auf-Router-DNS-Einstellungen-manipuliert-2132674.html)
Quelle : www.heise.de
-
Tausende Internetanschlüsse sind aufgrund einer Sicherheitslücke in DSL-Modems von D-Link akut gefährdet – allein in Deutschland. Die Schwachstelle wird bereits systematisch für Angriffe missbraucht. Wer betroffene Geräte betreibt, muss umgehend handeln.
In der Nacht von Montag auf Dienstag wurden laut Informationen, die heise Security vorliegen, reihenweise DSL-Modems von D-Link des Typs DSL-321B manipuliert. Bei einer in Deutschland und Österreich vertretenen Restaurantkette sind sämtliche in den Filialen installierten Geräte betroffen – insgesamt 19 Stück. Vermutlich gibt es viele weitere Opfer.
Bei den Geräten wurden die eingestellten DNS-Server verändert. Diese kleine Manipulation genügt, um fast den gesamten Internet-Traffic des Opfers auszuspähen und zu manipulieren. Im aktuellen Fall wurde unter anderem die IP-Adresse 37.1.206.9 als DNS-Server eingetragen. Das fiel schnell auf, weil unter dieser IP-Adresse kein aktiver DNS-Server geantwortet hat und somit faktisch kein Zugriff auf das Internet mehr möglich war.
Der ganze Artikel (http://www.heise.de/security/meldung/Akute-Angriffsserie-auf-D-Link-Modems-2135158.html)
Quelle : www.heise.de
-
Die Schonfrist ist abgelaufen: Im Netz kursieren Details, wie man die kritische Schwachstelle in den Fritzboxen ausnutzt. Das bedeutet akute Gefahr, da nach Erkenntnissen von heise Security noch immer sehr viele AVM-Router verwundbar sind.
Wer eine Fritzbox betreibt und trotz eindringlicher Warnung noch immer nicht eines der Anfang Februar veröffentlichten Firmware-Updates eingespielt hat, für den wird es jetzt ernst: Eine konkrete Beschreibung, wie man die Lücke ausnutzen kann, kursiert jetzt öffentlich zugänglich im Netz. Das Risiko, auf eine Angriffsseite zu stoßen, die den Router manipuliert, steigt damit erheblich.
Mit dem Angriff kann eine ungepatchte Fritzbox dazu gebracht werden, Shell-Befehle mit Root-Rechten auszuführen. Das kann für den Betreiber des Routers und alle Nutzer fatale Folgen haben: Bisher wurde die Lücke vor allem dazu missbraucht, die Telefonkosten des Anschlussinhabers in die Höhe zu treiben. Mit der Beschreibung kann jetzt im Prinzip jeder Betreiber einer Webseite – oder auch ein Eindringling – dort Code einbauen, der die Fritzboxen aller Besucher attackiert. Ab dann werden alle Besucher der Webseite, die eine noch verwundbare Fritzbox benutzen, angegriffen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Hack-gegen-AVM-Router-Fritzbox-Luecke-offengelegt-Millionen-Router-in-Gefahr-2136784.html)
Quelle : www.heise.de
-
Tausende Internetanschlüsse sind aufgrund einer Sicherheitslücke in DSL-Modems von D-Link akut gefährdet – allein in Deutschland. Die Schwachstelle wird bereits systematisch für Angriffe missbraucht. Wer betroffene Geräte betreibt, muss umgehend handeln.
In der Nacht von Montag auf Dienstag wurden laut Informationen, die heise Security vorliegen, reihenweise DSL-Modems von D-Link des Typs DSL-321B manipuliert.
Firmware-Updates Sicherheitspatch für Ihren D-Link Router und Modems.
Produktbezeichnung: DSL-321B Revision Z1
Letztes Update: 07.03.2014
Hier zu finden: http://more.dlink.de/sicherheit/router.php
-
In Standard-Routern von O2 (und ehemals Alice) klafft ein Sicherheitsleck. Deshalb beginnt das Unternehmen heute damit, hunderttausende Kunden zu warnen.
In den von o2 (und ehemals Alice) eingesetzten Standard-Routern 6431, 4421 und 1421 klafft ein Sicherheitsleck: Der voreingestellte WPA2-Key wurde nach einem unsicheren Verfahren generiert und lässt sich daher mit überschaubarem Zeitaufwand knacken.
(http://1.f.ix.de/imgs/18/1/1/9/3/1/5/0/o2router-ef74eb0a5b36481c.png)
Der Reverse-Engineering-Spezialist Hanno Heinrichs hat während der Analyse der Router-Firmware festgestellt, dass der Algorithmus, der den Standard-Key bestimmt, nicht sicher genug ist. Anhand öffentlicher Informationen, die jeder in Funkreichweite mitbekommt, lässt sich die Anzahl der möglichen Keys erheblich reduzieren. Wer es darauf anlegt, kann den WPA2-Key daher innerhalb von Minuten knacken. Der Angreifer befindet sich anschließend im Heimnetz und kann zum Beispiel den Datenverkehr aller Teilnehmer abgreifen und manipulieren.
heise Security liegen sämtliche Details zur bislang nicht öffentlich dokumentierten Schwachstelle vor. Wir konnten das Problem reproduzieren und haben den O2-Mutterkonzern Telefónica eingeschaltet. Daraufhin hat das Unternehmen am Dienstagmittag damit begonnen, sämtliche potenziell Betroffenen zu informieren – ungefähr eine halbe Million Kunden ("mittlerer sechsstelliger Bereich"). Sie werden etappenweise entweder per Mail oder Brief benachrichtigt.
Die Attacke funktioniert nur, wenn der WPA2-Key vom Kunden nicht geändert wurde. Dabei ist die Versuchung, den voreingestellten WPA2-Key dauerhaft zu benutzen, durchaus groß, schließlich ist er auf der Unterseite des Routers aufgedruckt. Wer eines der betroffenen Router-Modelle betreibt, sollte umgehend den vorgegebenen WPA2-Key (auch als WLAN-Passwort bekannt) ändern, sofern nicht bereits geschehen.
O2 hat eine Informationsseite (http://hilfe.o2online.de/t5/Sicherheit-Archiv/WLAN-Schl%C3%BCssel-Sicherheitshinweis-zu-den-Boxen-6431-4421-1421/ta-p/588924) eingerichtet, auf der sich unter anderem auch eine eigens eingerichtet Hotline-Nummer befindet, über die Kunden bei Bedarf beim Wechsel des WPA2-Keys unterstützt werden. Darüber hinaus arbeitet das Unternehmen an einer neuen Firmware, welche die Kunden im Web-Interface zum Schlüsselwechsel auffordern soll. Laut O2 soll das Router-Modell 6431 außerdem künftig mit einem WPA2-Schlüssel ausgeliefert werden, der nach dem Zufallsprinzip generiert wird und somit nicht zu berechnen ist. Die Modelle 1421 und 4421 werden nicht weiter hergestellt.
Produziert wurden die verwundbaren Geräte von dem OEM-Hersteller Arcadyan, der bereits mehrfach durch Router-Modelle aufgefallen ist, bei denen die voreingestellten WPA(2)-Schlüssel unsicher sind. Diese wurden bisher etwa von der Telekom und Vodafone eingesetzt.
Quelle : www.heise.de
-
Die Fritzbox-Angreifer haben anscheinend lange Zeit unbemerkt Zugangsdaten gesammelt, ohne sie zu benutzen. Für die Nutzer hat das jetzt ein übles Nachspiel, denn die meisten Passwörter funktionieren weiterhin. Der Schaden geht in die Hunderttausende.
Als zu Jahresbeginn die Fritzbox-Angriffe durch horrende Telefonrechnungen auffielen, woraufhin AVM etliche Firmware-Updates herausgab, hatten die Täter die erste Phase – das Einsammeln von Zugangsdaten – möglicherweise längst abgeschlossen. Der Internettelefonie-Anbieter Sipgate berichtete heise Security von einer ungewöhnlichen Häufung von Betrugsfällen, in denen die VoIP-Accounts von Fritzbox-Nutzern für kostspielige Auslandstelefonate missbraucht wurden.
Die Kunden hatten zwar das Sicherheitsupdate installiert, nicht aber das VoIP-Passwort geändert. Das ist ein Indiz dafür, dass die Daten bereits vor einiger Zeit erbeutet wurden, als die Boxen noch anfällig waren – möglicherweise sogar vor der Veröffentlichung der Fritzbox-Updates. Wann genau, lässt sich nicht feststellen, da das Abgreifen der Router-Konfiguration keine Spuren hinterlässt. Sipgate befürchtet, dass die Kriminellen auf "einem Berg von Daten" sitzen, die sie nach und nach zu Geld machen.
Der ganze Artikel (http://www.heise.de/security/meldung/Jetzt-VoIP-Passwort-aendern-Kriminelle-nutzen-erbeutete-Fritzbox-Daten-aus-2155168.html)
Quelle : www.heise.de
-
Die Firma hat ein Firmware-Update veröffentlicht, das die Hintertür auf Port 32764 des DSL-Modemrouters schließen soll. Über die Lücke können Angreifer die Passwörter der Geräte abgreifen.
Netgear hat die Hintertür auf Port 32764 in seinem Modemrouter DGN1000 mit einem Update geschlossen. Die mysteriöse Hintertür war im Januar auf Routern von mehreren Herstellern, darunter Cisco, Linksys und Netgear, entdeckt worden. Als einer der Hersteller bestätigte die Firma die Hintertür im Januar und versprach Abhilfe. Welche anderen Geräte der Firma betroffen sind ist nach wie vor unklar.
Der ganze Artikel (http://www.heise.de/security/meldung/Netgear-schliesst-Hintertuer-in-Modemrouter-DGN1000-2165017.html)
Quelle : www.heise.de
-
Aktuelle Scan-Ergebnisse belegen, dass die Verbreitung des kritischen Sicherheits-Updates kaum voranschreitet. In vielen Fällen werden verwundbare Fritzboxen sogar noch mit aktivem Fernzugriff betrieben – eine gefährliche Mischung.
Die Verbreitung des wichtigen Fritzbox-Updates ist laut einer aktuellen Analyse von heise Security ins Stocken geraten: Bei einem stichprobenartigen Scan im IP-Adressbereich der Deutschen Telekom waren am Donnerstag immer noch 34 Prozent der AVM-Router, die uns konkrete Versionsinformationen verrieten, verwundbar. Vor 4 Wochen waren das bei einem vergleichbaren Test 35 Prozent. Also ist der Anteil der angreifbaren Geräte in knapp einem Monat gerade einmal um ein Prozent zurück gegangen. Hochgerechnet auf die Gesamtverbreitung sind nach wie vor Millionen AVM-Router über manipulierte Webseiten und HTML-Mails angreifbar.
Der ganze Artikel (http://www.heise.de/security/meldung/Das-Router-Desaster-Fritzbox-Update-geraet-ins-Stocken-2173043.html)
Quelle : www.heise.de
-
Das kürzlich veröffentlichte Update für den Netgear-Router DGN1000 soll die mysteriöse Backdoor nicht wie bisher angenommen entfernen, sondern sie lediglich verstecken. Das spräche für eine gewollte Funktion statt für ein Versehen.
Netgear soll den nach wie vor mysteriösen Backdoor-Dienst bei seinem Router DGN1000 nicht entfernt, sondern lediglich besser versteckt haben. Eine Analyse (PDF) des Firmware-Updates durch den Reverse-Engineer Eloi Vanderbeken will belegen, dass der Dienst nach wie vor existiert, allerdings nicht mehr unmittelbar auf Port 32764 lauscht.
Der ganze Artikel (http://www.heise.de/security/meldung/Netgear-Update-Router-Backdoor-nur-versteckt-2173996.html)
Quelle : www.heise.de
-
Nachdem bekannt wurde, dass Netgear eine seit Jahresbeginn bekannte Backdoor nicht entfernt, sonder nur versteckt haben soll, will der Netzwerkausrüster die Vorwürfe nun umfassend prüfen.
Nachdem die Analyse eines Reverse Engineer ergab, dass Netgear eine seit Jahresbeginn bekannte Router-Backdoor nicht entfernt, sondern lediglich versteckt haben soll, kündigte der Netzwerkausrüster an, den Fall untersuchen zu wollen. "Wir gehen im Moment mit unserem Technologiepartner SerComm zusammen den Behauptungen nach", erklärte Netgear gegenüber heise Security. SerComm ist der OEM-Hersteller der betroffenen Geräte, er hat auch für andere Netzwerkausrüster Router produziert, auf denen der Backdoor-Diesnt ebenfalls aktiv war oder ist.
Der ganze Artikel (http://www.heise.de/security/meldung/Router-Backdoor-reloaded-Netgear-prueft-11-Modelle-2175535.html)
Quelle : www.heise.de
-
Eine signierte Mail soll jene Kunden wachrütteln, die ihre Fritzbox noch immer in einer besonders fatalen Konfiguration betreiben: mit veralteter Firmware und aktivem Fernzugriff.
Die Telekom hat über 12.000 Kunden angeschrieben, die eine akut verwundbare Fritzbox betreiben. Auf den Geräten ist nicht nur eine verwundbare Firmware aktiv, sondern auch der Fernzugriff – so sind die Router leicht aus der Ferne aufzuspüren und dann auch angreifbar. Cyber-Kriminelle nutzen dies seit Jahresbeginn aus, um die Telefonrechnungen der Router-Besitzer in die Höhe zu treiben.
Die Informationen über die betroffenen Fritzboxen wurden heise Security von einem Leser übermittelt. Sie stammen aus dem Scan eines Teilbereichs des Telekom-Netzes. Wir haben die Daten daraufhin überprüft und an die Telekom weitergegeben. Die betroffenen Telekom-Kunden erhalten eine signierte Mail vom Provider, in der sie auf das akute Sicherheitsproblem hingewiesen werden. Außerdem enthält die Mail einen Link zu den Sicherheitsupdates.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/AVM-Routerleck-Telekom-warnt-ueber-12-000-Fritzbox-Nutzer-2179159.html)
Quelle : www.heise.de
-
Eine Reihe von Schwachstellen in zwei Mobilnetz-Routern von Huawei ermöglichen es, die Geräte aus dem Internet zu kapern. Eine der Schwachstellen hatte Huawei schon einmal geschlossen – offensichtlich nicht gründlich genug.
Bei Huawei sammeln sich die Sicherheitslücken: Nach Problemen mit UMTS-Sticks, die es Angreifern erlauben, SMS auf Kosten der Besitzer zu verschicken, haben Forscher der Fachhochschule St. Pölten nun fünf Sicherheitslücken im Router-Modell b593 entdeckt. Betroffen sind die Versionen b593u-12 und b593s-22, beides WLAN-Router für Mobilnetze. Angreifer können diese Geräte aus dem Internet unter ihre Kontrolle bringen und je nach Firmware-Version den Nutzern das Internet abdrehen, beliebigen Code ausführen oder diese auf Phishing-Seiten umleiten.
Eine der Sicherheitslücken basiert auf einem Fehler in der Firmware, den Huawei bereits Anfang des Jahres in Zusammenarbeit mit einem österreichischen Service Provider geschlossen hatte. Dabei hat der Hersteller anscheinend nicht gründlich gearbeitet, so dass ein Ausnutzen der Lücke nach wie vor möglich ist. Unter anderem ist das Web-Interface der Router anfällig für Cross-Site Request Forgery (CSRF) und Replay-Attacken, bei denen ein Angreifer die Anmeldedaten der Nutzer aus dem lokalen Netz fischen kann. Die auf dem Router bereitgestellten Diagnose-Werkzeuge wie Ping und Traceroute können dazu missbraucht werden, beliebige Befehle auf dem Gerät auszuführen.
Von den Schwachstellen betroffen sind laut der Forscher die Firmware-Versionen V100R001C55SP102 und V200R001B180D10SP00C801. Sowohl deutsche als auch österreichische Provider haben begonnen, ihren Kunden Updates anzubieten. Die Forscher der FH St. Pölten empfehlen betroffenen Kunden, das Update so schnell wie möglich einzuspielen und im Zweifelsfall ihren Provider zu kontaktieren, um diesen nach dem Update zu fragen.
Quelle : www.heise.de
-
AVM hat eine Konsequenz aus der schweren Sicherheitslücke seiner Router gezogen. Eine Laborversion ermöglicht nun ein automatisches Update der Firmware.
Routerhersteller AVM hat die Laborversion seiner Firmware für die Fritzbox 7490 um eine automatische Update-Funktion ergänzt. "Fritzbox kann periodisch nach neuen Versionen von FritzOS suchen und diese automatisch zu einem geeigneten Zeitpunkt installieren", heißt es in der aktuellen Liste der Änderungen vom 6. Juni 2014. Mit dieser Version (113.06.10-28144) lässt sich auswählen, ob der Router nur notwendige Updates wie Sicherheitsupdates automatisch installiert, alle Updates installiert oder lediglich auf neue Updates hinweist. Voreingestellt sei die automatische Installation von Sicherheitsupdates.
Der ganze Artikel (http://www.golem.de/news/routersicherheit-fritzbox-sucht-automatisch-nach-firmware-updates-1406-107040.html)
Quelle : www.golem.de
-
Neun Consumer-Router und Kabelmodems von Cisco sind anfällig für eine kritische Lücke, die es Angreifern aus dem Netz ermöglicht, das Gerät zu kapern. Auch deutsche Provider setzten die betroffenen Modelle ein.
Cisco hat ein Update für eine kritische Sicherheitslücke (http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ciscosa-20140716-cm) veröffentlicht, die eine Reihe seiner Consumer-Router und Kabelmodems verwundbar für die Ausführung von Schadcode aus dem Netz macht (CVE-2014-3306). Durch Ausnutzen der Lücke kann ein Angreifer mit einem präparierten HTTP-Request einen Pufferüberlauf im Webserver der Geräte auslösen und Code ausführen, ohne sich vorher anmelden zu müssen.
Insgesamt sind neun verschiedene Modelle von der Lücke betroffen:
(http://1.f.ix.de/imgs/18/1/2/7/0/8/3/2/EPC3925-b609029f0357ef38.jpeg)
DPC3212 VoIP-Kabelmodem
DPC3825 Modem-Router
EPC3212 VoIP-Kabelmodem
EPC3825 Modem-Router
DPC3010 Kabelmodem
DPC3925 Modem-Router
DPQ3925 Modem-Router
EPC3010 Kabelmodem
EPC3925 Modem-Router
Außer einem Software-Update gibt es laut Cisco keine Möglichkeit, das Problem zu umgehen. Die Firma hat entsprechende Firmware-Aktualisierungen zur Verfügung gestellt und empfiehlt Kunden mit betroffenen Geräten bei ihrem Provider das Update anzufordern. Einige der verwundbaren Modelle sind auch bei deutschen Providern im Einsatz, zum Teil aber ohne offensichtlichen Cisco-Schriftzug. Im Zweifel bringt ein Blick auf das Typenschild des Gerätes Klarheit. Dieses befindet sich meist auf der Unterseite des Modems oder Routers.
Cisco stuft die Lücke als äußerst kritisch ein. Bis jetzt seien allerdings keine konkreten Fälle von Angriffen bekannt. Die Lücke wurde von einem Sicherheitsforscher vertraulich an das Systems Product Security Incident Response Team (PSIRT) der Firma gemeldet.
Quelle : www.heise.de
-
Die kritische Sicherheitslücke, die neun Router und Kabelmodems von Cisco verwundbar für Angriffe aus dem Netz macht, ist bei deutschen Providern vor Jahren mit einem Update geschlossen worden. Allerdings bleibt unklar, warum Cisco den Fix erst jetzt öffentlich machte.
Die vor kurzem bekannt gewordene Sicherheitslücke in Consumer-Routern und Kabelmodems von Cisco ist bei den meisten deutschen Providern nicht vorhanden. Sowohl Kabel Deutschland als auch Unitymedia, beziehungsweise Kabel BW, teilten heise Security getrennt voneinander mit, dass die Firmware des bei ihnen im Einsatz befindlichen E-MTAs EPC3212 nicht angreifbar ist. Die bei beiden Providern genutzte Firmware sei bereits 2012 mit einem Update gefixt worden. Dieses Update wurde dann, zumindest bei Kabel Deutschland, automatisch an die Geräte der Kunden verteilt.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Cisco-Routerluecke-Der-mysterioese-Vorab-Patch-2264271.html)
Quelle : www.heise.de
-
Der Router-Hersteller AVM verfolgt die Entwicklung, die Sicherheitsforscher angestoßen haben, zwar aufmerksam, sieht aber derzeit keine unmittelbare Gefahr für Teilnehmer-Router in Deutschland.
Routerhersteller AVM sieht in der kürzlich bekannt gewordenen Sicherheitslücke in der von vielen Providern eingesetzten TR-069-Fernwartungssoftware keine umittelbarer Gefahr für Fritzboxen. "Die Schwachstellen betreffen die Software, die auf den ACS-Servern laufen", betonte ein AVM-Sprecher gegenüber heise Netze. Zumindest in Deutschland seien diese Auto Configuration Server Teil einer Infrastruktur mit hohen Anforderungen an das Schutzniveau, das Thema sei "endgeräteunabhängig".
Der Sicherheitsforscher Shahar Tal hatte ernste Sicherheitslücken in der Server-Implementierung aufgedeckt, mit der Netzbetreiber und Provider die Router von Teilnehmern fernwarten. Tal auf der Def Con 22 unter anderem von einem Fall berichtet, bei dem sich durch solche Sicherheitslücken Millionen von Teilnehmer-Routern eines Providers im Nahen Osten prinzipiell hätten kapern lassen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/AVM-Fritzboxen-droht-durch-TR-069-Fernwartungsluecke-keine-Gefahr-2294267.html)
Quelle : www.heise.de
-
AVM hat eine von heise Security entdeckte Sicherheitslücke im Fernzugriff seiner FritzBoxen geschlossen, durch die Angreifer die volle Kontrolle über den Router – und somit auch den Telefonanschluss – übernehmen konnten.
Der Berliner Router-Hersteller AVM musste die Sicherheit der Fernwartungsfunktion seiner FritzBoxen erneut nachbessern: Durch eine von heise Security entdeckte Schwachstelle war es möglich, ohne Login-Daten auf die Web-Oberfläche zuzugreifen. Die Lücke klaffte in den MyFritz-Apps für Android und iOS.
Wer eine der Apps in einem fremden Netz benutzte, hat damit unter Umständen auch Hackern administrativen Zugriff auf die FritzBox verschafft. Abhilfe bringen die gerade veröffentlichten MyFritz-Versionen. Wer die Apps einsetzt, sollte sie dringend auf den aktuellen Stand bringen. Mit den aktuellen Hinweisen zu Lücken in der TR-069-Fernwartungsfunktion für Provider hat der Fehler aber nichts zu tun.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/AVM-Router-Weitere-Luecke-in-der-FritzBox-Fernwartungsfunktion-2296040.html)
Quelle : www.heise.de
-
Router-Hersteller AVM sieht Anzeichen dafür, dass Hacker versuchen, eine Sicherheitslücke vom Februar 2014 auszunutzen.
Hacker versuchen offenbar, eine längst geschlossene Sicherheitslücke in Fritzbox-Routern auszunutzen, die Mitte Februar bekannt geworden ist. Hersteller AVM teilt mit, es gebe Anzeichen dafür. Von den Angriffen seien Anwender betroffen, die das Sicherheits-Update von Februar 2014 nicht eingespielt haben, den Fernzugriff (Port 443) aktiviert haben und über eine Telefoniefunktion verfügen.
Die Betrüger suchten gezielt nach Geräten, bei denen das Update und die Neuvergabe der Kennwörter versäumt worden sei, teilt AVM weiter mit. Die betroffenen Geräte könnten von den Telefonbetrügern missbraucht werden. Dabei können hohe Telefonkosten entstehen, beispielsweise durch Telefonverbindungen nach Kuba, Sierra Leone oder Afghanistan.
Quelle : www.heise.de
-
Laut Mitarbeitern der tschechichen CZ.NIC Labs gibt es weltweit mehr als eine halbe Million Router, die ihre Konfiguration und damit das Zugangspasswort unbemerkt herausgeben. Angreifer können Nutzer der Router auf Phishing-Seiten umleiten.
Zahlen aus den Labs der tschechischen CZ.NIC zeigen, dass das Kapern von Routern unter Ausnutzung der rom0-Schwachstelle überwiegend ungehindert weitergeht. Im Frühjahr hatte Team Cymru unter dem Stichwort Soho Pharming weltweit noch rund 300[.]000 kompromittierte Router gemeldet. CZ.NIC-Mitarbeiter Tomáš Hlaváček stellte jetzt beim RIPE69-Treffen in London Zahlen vor, die darüber liegen und in einzelnen Ländern sogar zunehmen.
Der ganze Artikel (http://www.heise.de/security/meldung/Keine-Entwarnung-beim-Router-Farming-2444832.html)
Quelle : www.heise.de
-
Sehr viele der von Vodafone vertriebenen EasyBox-Router sind über WLAN innerhalb von Sekunden geknackt. Nur das WPA-Passwort zu ändern bringt ebenso wenig wie die derzeit aktuelle Firmware.
Durch eine Abwandlung eines seit mehreren Jahren bekannten Angriffs kann man viele der von Vodafone vertriebenen Standardrouter des Typs EasyBox innerhalb von Sekunden knacken, wie eine Analyse von heise Security zeigt. Dazu ist nicht mehr als eine Android-App nötig. Nach unseren Schätzungen sind mehrere hunderttausend Netze betroffen. Wer sich schützen will, muss selbst aktiv werden.
Der ganze Artikel (http://www.heise.de/security/meldung/Akute-Sicherheitsluecke-in-Vodafone-Routern-ist-wieder-offen-2294798.html)
Quelle : www.heise.de
-
Der Firewall-Hersteller weist auf ein kritisches Sicherheitsproblem in Routern hin, das Millionen von Anwendern betrifft. Doch er sagt weder, wer genau betroffen ist, noch wie man sich schützen kann.
Der Firewall-Hersteller Checkpoint warnt derzeit vor einer kritischen Router-Lücke namens "Misfortune Cookie", die aktuell 12 Millionen Geräte betreffen soll. Sie erlaube es einem Angreifer die volle Kontrolle über den Router zu übernehmen. Betroffen sind laut Checkpoint Router verschiedener Hersteller, die den Embedded Webserver RomPager von AllegroSoft einsetzen.
Checkpoint hält sich sehr bedeckt, was die Details zu Misfortune Cookie angeht. Die c't hatte bereits im April vor einem kritischen Problem mit der RomPager-Software gewarnt. Die erlaubt es Angreifern, ein ROM-Image der Firmware herunterzuladen und daraus das Admin-Passwort zu extrahieren. Diese Lücke ist immer noch auf vielen Routern vorhanden – doch Checkpoint scheint noch etwas anderes entdeckt zu haben. Jedenfalls ist in der sehr dürren technischen Beschreibung die Rede von einem Cookie, das die Manipulationen ermöglicht.
Der ganze Artikel (http://www.heise.de/security/meldung/Misfortune-Cookie-Checkpoint-verunsichert-durch-Router-Alarm-Meldung-2502246.html)
Quelle : www.heise.de
-
Der Sicherheitsexperte Joshua Drake hat eine Lücke in den Routern von Asus entdeckt und dokumentiert (https://github.com/jduck/asus-cmd), über die jeder im Netzwerk Kontrolle über den Router erlangen kann.
Root-Rechte erlangen
Der Angriff erfolgt über den Dienst infosvr, der auf den Asus-Routern mit Root-Rechten läuft. Über eine Sicherheitslücke in diesem Dienst kann der Angreifer dann Kontrolle über den Router erlangen.
Der Dienst infosvr soll die Konfiguration erleichtern, indem andere Router im gleichen Netzwerk identifiziert werden. Den Sourcecode hat Asus auf seinen Supportseiten dokumentiert.
Vorschläge zur Abhilfe
Betroffen sind laut Drake alle Asus-Router, auf denen der Dienst infosvr läuft. Dabei spiele es keine Rolle, welche Firmware-Version auf dem Router verwendet wird.
Ob und wann es Abhilfe von Asus in Form einer neuen Firmware gibt, ist nicht bekannt. Die Dienst lässt sich jedenfalls nicht über das Konfigurationsmenü deaktivieren.
David Longenecker schlägt vor (http://dnlongen.blogspot.de/2015/01/asus-bug-lets-those-on-your-local.html), den Dienst infosvr nach dem Booten per Script zu stoppen. Drake selbst weist auf die Möglichkeit hin, die Sicherheitslücke selbst auszunutzen und per Kommandozeile den Dienst zu stoppen. Dieser Befehl müsste allerdings nach jedem Reboot neu ausgeführt werden. Eric Sauvageau schlägt dagegen vor (http://forums.smallnetbuilder.com/showthread.php?t=21774), den Port 9999, an dem infosvr lauscht, per Firewall zu blockieren.
Quelle : www.onlinekosten.de/
-
Das Bot-Netz, das an Weihnachten die Spielenetzwerke von Sony und Microsoft lahmlegte, bestand einer Analyse des Sicherheitsexperten Brian Krebs zufolge zum Großteil aus gehackten Heimroutern.
Hinter den Attacken auf die Playstation- und Xbox-Netze zu Weihnachten steckte offenbar eine Hackergruppe, die sich Lizard Squad nennt. Einer ihrer Mitglieder hatte zunächst behauptet, die Konsolennetzwerke aus Spaß angegriffen zu haben. Mittlerweile hat sich aber der Verdacht erhärtet, dass die Hacker mit der weihnachtlichen Aktion wohl eher Reklame für ihr DDoS-Werkzeug "Lizard Stresser" machen wollten.
Der Sicherheitsexperte Brian Krebs berichtet auf seiner Webseite nun, dass das hinter den Attacken steckende Bot-Netz zum großen Teil aus ungenügend gesicherten Heim-Routern besteht. Der verantwortliche Programmcode suche in seiner Umgebung selbstständig nach weiteren angreifbaren Systemen und werde dabei vor allem bei Routern fündig, deren Telnet-Zugang häufig mit Default-Zugangsdaten (admin/admin, root/12345) erreichbar sei. Dies sei vor allem bei Heim-Routern der Fall, Krebs habe aber auch professionell genutzte Router in Universitäten und Firmen gefunden, auf denen der Schadcode aktiv sei. Technisch sei der unter Linux laufende Code aber nicht auf Router beschränkt; er könne ohne weiteres auch Desktop-Systeme, Server oder etwa Webcams mit Internetzugang befallen.
Im selben Artikel berichtet Krebs noch von einer weiteren Aktion der "Lizard Squad": Sie soll versucht haben, das Tor-Netzwerk zu infiltrieren, indem sie Hunderte manipulierter Tor-Relaisstationen aufsetzte. Dieser Versuch flog aber recht bald auf, weil die Hacker die dazu nötigen Server mithilfe gestohlener Kreditkartendaten bei Googles Cloud-Service gemietet hatten und Google den ungewöhnlichen Aktivitäten recht schnell auf die Schliche kam.
Um sich selbst davor zu schützen, Teil eines Bot-Netzes zu werden, sollten Besitzer von Routern vor allem die im Auslieferungszustand festgelegten Zugangsdaten gegen ein sicheres Kennwort austauschen. heise-online-Leser können darüber hinaus unseren Netzwerkcheck (http://www.heise.de/security/dienste/Netzwerkcheck-2114.html) verwenden, um zu prüfen, ob der eigene Router angreifbar ist.
Quelle : www.heise.de
-
Mindestens sieben verschiedene Modelle der Firma lassen sich aus dem lokalen Netzwerk kapern. Ein Exploit ist bereits im Umlauf, Besitzer der betroffenen Router sollten also schnellstmöglich handeln.
Asus hat Firmware-Updates für mehrere Router-Modelle veröffentlicht, die sich aus dem lokalen Netz über Port 9999 übernehmen lassen. Auf verwundbaren Geräten lassen sich über einen Fehler im Konfigurations-Dienst infosvr beliebige Befehle mit Root-Rechten ausführen (CVE-2014-9583). Ein Exploit für die Lücke macht bereits seit letzter Woche die Runde, die Updates sollten also schnellstmöglich installiert werden.
Betroffen sind laut Asus und des Sicherheitsforschers, der die Lücke entdeckt hatte mindestens sechs verschiedene Router:
DSL-AC68U
RT-AC87U
RT-AC68U
RT-AC66U
RT-N56U
RT-N66U
Nutzer können die Firmware-Updates auf den entsprechenden Support-Seiten (http://www.asus.com/de/Networking/) der Firma herunterladen. Betroffene Router erkennt man daran, dass in den Notizen zur aktuellsten Firmware-Version der Fix erwähnt wird: "Fixed infosvr security issue."
Quelle : www.heise.de
-
Eine Reihe von Netgear-Routerm plaudern durch die Schnittstelle für die Fernwartungs-App Genie wichtige Informationen über das eigene Netzwerk aus. Unter anderem können Angreifer aus dem Netz so Passwörter auslesen.
Mehrere Netgear-Router sind durch eine Sicherheitslücke in der Web-Adminstrationsoberfläche der Konfigurationssoftware Genie angreifbar. Durch die Lücke können Angreifer wichtige Informationen über das lokale Netzwerk und den Router auslesen, so zum Beispiel Passwörter und den Schlüssel des WLAN-Netzes. Damit kann ein Angreifer, unter Umständen auch aus der Ferne, die Kontrolle über den Router übernehmen.
Die Sicherheitslücke tritt im SOAP-Interface der Router auf, die mit der Genie-App kommuniziert. Diese wird oft zur Fernwartung der Geräte benutzt und sollte bei unberechtigten Anfragen eigentlich mit einem 401-Fehler antworten. Angreifer können allerdings mit einem Trick diese Sperre umgehen (http://seclists.org/fulldisclosure/2015/Feb/56) und über das SOAP-Interface ohne Anmeldung beliebige Daten auslesen. Laut Sicherheitsforscher Peter Adkins, der die Lücke entdeckt hat, sind folgende Modelle betroffen:
WNDR3700v4 mit Firmware 1.0.0.4SH und 1.0.1.52
WNR2200 mit Firmware 1.0.1.88
WNR2500 mit Firmware 1.0.0.24
Zusätzlich vermutet Adkins, dass auch die Modelle WNDR3800, WNDRMAC, WPN824N und WNDR4700 betroffen sind. Er hatte die Lücke im Januar an Netgear gemeldet, die Firma hatte das entsprechende Support-Ticket allerdings automatisch geschlossen und sich dann nicht mehr gemeldet.
Von der Lücke sind auch Geräte betroffen, deren Besitzer die Genie-App gar nicht nutzen, da die Schnittstelle im Router der eigentliche Schwachpunkt ist. Updates für die betroffenen Geräte gibt es bis jetzt nicht. Die Lücke lässt sich aber wenigstens gegen Angriffe aus dem Internet abschotten, indem Nutzer die Fernadministration der Geräte abschalten und somit den Zugriff aus dem WAN unterbinden.
Quelle : www.heise.de
-
Gezielter Spam enthält Links, die beim Klick den eigenen Router kompromittieren und dessen DNS-Einstellungen übernehmen.
In Brasilien sind Internet-Nutzer eines bestimmten Service-Providers gezielt mit Phishing-Spam bombadiert worden, mit dem Ziel, deren Router zu übernehmen. Die Mails sahen aus wie legitime Nachrichten des Providers, klickten die Angeschriebenen allerdings auf einen Link in der Mail, wurden sie Opfer einer Cross-Site-Request-Forgery-Attacke (CSRF). Der Klick sorgte dafür, dass der Nutzer unwissentlich die standardmäßigen Logindaten des eigenen Routers in dessen Interface eingaben. Hatten sie diese nicht geändert, bekam die Seite des Angreifers die Kontrolle über den Router und konnten dessen DNS-Einstellungen ändern.
Auch dieser Angriff zeigt mal wieder, dass man auf jeden Fall Standard-Passwörter in Routern ändern muss. Besser ist natürlich, wenn die Provider diese Passwörter so vergeben, dass jeder ausgelieferte Router ein anderes hat. Router umfassend gegen CSRF-Lücken abzusichern scheint ein Kampf zu sein, den wir nicht gewinnen können.
Quelle : www.heise.de
-
In einer Sammlung von Routern der Hersteller D-Link und Trendnet klaffen mehrere Lücken, durch die Angreifer unter Umständen das Gerät übernehmen können. Bis jetzt hat nur Trendnet mit Updates reagiert.
Eine ganze Reihe von Sicherheitslücken bedroht mehrere Router-Modelle von D-Link und Trendnet. Im schlimmsten Fall, nämlich wenn der Remote-Zugriff aktiviert ist, können Angreifer die Einstellungen dieser Router aus der Ferne manipulieren, wenn sie Nutzer auf eine vorbereitete Webseite locken können. Die entsprechenden Geräte sind auf jeden Fall aus dem lokalen Netz angreifbar. Trendnet hat mit einem Patch reagiert, D-Link stellt sich bis jetzt tot.
Entdeckt wurden die Lücken von Peter Adkins, der vor kurzem bereits Sicherheitsprobleme mit Netgear-Routern öffentlich gemacht hatte. Obwohl er seine Erkenntnisse nach eigenen Angaben bereits am 11. Januar an D-Link gemeldet hatte, warte er seit dem ersten Kontakt mit deren Sicherheits-Abteilung am 14. Januar auf weitere Antwort. Trendnet hingegen hatte am 10. Februar Updates für die Firmware seiner Router veröffentlicht.
Der ganze Artikel (http://www.heise.de/security/meldung/Loechrige-Router-bei-D-Link-und-Trendnet-2561211.html)
Quelle : www.heise.de
-
Eine der Sicherheitslücken, die momentan Router von D-Link unsicher macht, wurde gleich von zwei Sicherheitsforschern gefunden. Außerdem ist mindestens ein weiteres Modell betroffen. Updates lassen weiter auf sich warten.
In mehreren Routern des Herstellers D-Link klaffen Sicherheitslücken, die es Angreifern unter bestimmten Umständen ermöglichen, die Geräte aus der Ferne zu übernehmen. Öffentlich gemacht wurden die Lücken von Sicherheitsforscher Peter Adkins vergangene Woche. Nun meldet die Sicherheitsabteilung des Schweizer Telekommunikations-Unternehmens Swisscom, dass weitere Geräte betroffen seien. Mindestens das Modell DIR636L gilt ebenfalls als verwundbar (http://seclists.org/fulldisclosure/2015/Mar/15).
Außerdem stellt sich heraus, dass die Schwachstelle mindestens seit November bekannt ist – also seit über drei Monaten. Adkins hatte D-Link Mitte Januar informiert, doch wie Swisscom meldet, hatte ein anderer Sicherheitsforscher die Lücke am 30. November entdeckt. Swisscom hatte sich zuerst eine CVE-Nummer für die Lücke zuteilen lassen (CVE-2015-118) und dann am 2. Februar D-Link informiert. Am 16. Februar hatte D-Link dann gegenüber Swisscom einen Zeitplan für Patches mitgeteilt.
Adkins wartete seit dem 14. Januar vergeblich auf eine Antwort D-Links und gab seine Erkenntnisse schließlich vergangene Woche bekannt, vermutlich ohne vom parallelen Informationsaustausch zwischen D-Link und Swisscom zu wissen. Swisscom selbst veröffentlichte am heutigen Montag eigene Details zu der Lücke, nachdem man auf die Veröffentlichung von Adkins gestoßen war. Die Firma Trendnet, deren Router ebenfalls betroffen sind, hatte am 10. Februar Firmware-Updates veröffentlicht.
Quelle : www.heise.de
-
In mindestens acht Router-Modellen von D-Link klaffen Lücken, wie die Firma nun bestätigt hat. Man arbeite an Firmware-Updates. Für ein Router-Modell stehen diese schon bereit.
D-Link ist aufgewacht und hat nun die Lücken, die in einer Reihe von Routern der Firma klaffen, öffentlich bestätigt. Acht Router-Modelle sind laut der Firma betroffen, für eins davon gibt es nun ein Firmware-Update. An weiteren Patches wird gearbeitet, so ein Advisory der Firma.
In seiner Mitteilung bestätigt D-Link Lücken in den folgenden Routern: DIR-626L, DIR-636L, DIR-808L, DIR-810L, DIR-820L, DIR-826L, DIR-830L und DIR-836L. Besitzer des DIR-820L Rev. A sollten das Update für ihre Gerät so schnell wie möglich herunterladen, um die Lücken zu stopfen. Download-Links zu den Firmware-Images werden im Advisory unter "Affected Product" aufgelistet. Sobald neue Updates zur Verfügung stehen, will die Firma diese nachtragen.
Der ganze Artikel (http://www.heise.de/security/meldung/Router-Luecken-D-Link-bereitet-Patches-vor-2566720.html)
Quelle : www.heise.de
-
Jeder Router ist ständig automatisierten Angriffen aus dem Internet ausgesetzt. Ein paar Vorsichtsmaßnahmen reduzieren das Risiko, dass ein Angriff zum Erfolg führt – selbst wenn ein Sicherheitsloch in der Router-Software klafft.
Die Hersteller von Routern für DSL- und Kabelanschlüsse erleichtern die Bedienung durch diverse Vorgaben wie IP-Adressen, Gerätenamen und Such-Domains. Solche Werksvorgaben erleichtern aber auch den Bau von Schadsoftware: Anstatt lange nach potenziellen Opfern zu suchen, schießt sie einfach auf die üblichen Ziele. Und so wird aus „gut gemeint“ ein Sicherheitsrisiko.
Router lassen sich sowohl direkt aus dem Internet als auch übers LAN angreifen. Ein beliebtes Ziele dieser Angriffe ist die Verwaltungsoberfläche. Der direkte Zugriff darauf aus dem Internet ist ab Werk bei praktisch keinem Router möglich. Aber über manipulierte, untergeschobene Links gelingen Angriffe auch über Bande (CSRF). Zuletzt konnte man so etwas bei Fritzboxen beobachten: Eine Webseite wird so manipuliert, dass sie eine URL zur Fritzbox-Verwaltung enthält (zum Beispiel http://fritz.box/home/home.lua). Die Angreifer nutzten dabei die Herstellervorgabe für fritz.box aus, unter der alle AVM-Router im LAN antworten. Über eine bekannte, weil voreingestellte IPv4-Adresse klappen solche Angriffe ebenfalls. Wenn nun ein PC im Inneren des Netzes die manipulierte Webseite aufruft, attackiert der PC den Router aus dem nur noch scheinbar vertrauenswürdigen Teil des Netzwerks.
Der ganze Artikel (http://www.heise.de/netze/artikel/Router-Angriffen-vorbeugen-2572923.html?artikelseite=2)
Quelle : www.heise.de
-
Beim Versuch drei Lücken in der Firmware der Router DIR-645 und DIR-890L zu schließen, hat D-Link eine weitere Lücke eingebaut. Und die alten Löcher klaffen immer noch.
Die Routerhacker von /dev/ttyS0 können es nicht fassen: Nach dem sie alte Lücken in einem neuen D-Link-Router gefunden hatten, mussten sie jetzt feststellen, dass selbst der entsprechende Patch nicht funktioniert. Beim Versuch, mehrere Sicherheitslücken in seiner Router-Firmware abzudichten hat D-Link offensichtlich eine weitere Lücke eingebaut.
Der ganze Artikel (http://www.heise.de/security/meldung/D-Link-Patch-ergaenzt-Sicherheitsluecken-durch-neue-Luecke-2607642.html)
Quelle : www.heise.de
-
Seit mindestens August klafft eine kritische Lücke in Routern der Firmen D-Link und Trendnet. Diese geht auf ein Toolkit der Firma Realtek zurück, die Anfragen von Sicherheitsforschern für Monate beharrlich ignorierte. Nun ist die Lücke öffentlich.
Die letzten Lücken in D-Link-Routern sind noch nicht geschlossen, da decken Sicherheitsforscher schon wieder neue Probleme in der Router-Firmware des Herstellers auf (CVE-2014-8361). Diesmal handelt es sich um eine Lücke, über die Angreifer aus der Ferne Schadcode mit Systemrechten ausführen können und die auf das Entwicklungs-Toolkit für WLAN-Controller der Firma Realtek zurückgeht. Betroffen sind eine ganze Reihe von Routern von D-Link und Trendnet; nach dem CVSS-Scoring ist die Lücke mit einem Score von 10 hoch kritisch.
Der zugrunde liegende Bug befindet sich im SOAP-Dienst miniigd aus dem Realtek-SDK. Hier werden die Daten aus eingehenden Paketen nicht gründlich genug geprüft, was ein Angreifer missbrauchen kann um sich Root-Rechte zu verschaffen. Um herauszufinden, ob der eigene Router verwundbar ist, kann man das Metasploit-Framework nutzen. Falls der Router in seiner Antwort auf UPNP-Anfragen den String "RealTek/v1.3" oder etwas ähnliches ausgibt, ist er laut dem Entdecker der Lücke angreifbar. Diese Herangehensweise eignet sich allerdings nur für technisch versierte Nutzer.
Der ganze Artikel (http://www.heise.de/security/meldung/Und-taeglich-gruesst-die-D-Link-Luecke-2628562.html)
Quelle : www.heise.de
-
Durch einen verwundbaren Dienst können Angreifer beliebigen Code auf dem Router mit Kernel-Rechten ausführen. Die Anzahl der potenziell betroffenen Router-Hersteller ist immens.
In Routern etlicher Hersteller klafft eine kritische Sicherheitslücke, durch die ein Angreifer Code mit Kernel-Rechten ausführen kann. Betroffen ist die von KCodes entwickelte Funktion USB Over IP, die Router nutzen, um zum Beispiel USB-Drucker oder externe Festplatten im lokalen Netz freizugeben. Entdeckt wurde die Lücke von der österreichischen Pentesting-Firma SEC Consult. Die Sicherheitsexperten haben in Treibern Hinweise darauf gefunden, dass die verwundbare Komponente von bis zu 26 Herstellern eingesetzt wird, darunter bekannte Namen wie D-Link, Netgear, TP-Link und ZyXEL.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Kritische-Luecke-in-etlichen-Routern-2655271.html)
Quelle : www.heise.de
-
Wer einen unsicher konfigurierten Router betreibt, könnte schon bald Probleme bekommen: Ein Virenforscher hat ein Exploit-Kit entdeckt, das zahlreiche Router-Modelle bekannter Hersteller angreifen kann.
Online-Angreifer nutzen ein bisher unbekanntes Exploit-Kit (http://malware.dontneedcoffee.com/2015/05/an-exploit-kit-dedicated-to-csrf.html), um über 50 Router-Modelle zu attackieren. Wie der Virenforscher Kafeine berichtet, versucht es Schwachstellen im Router auszunutzen, um den eingestellten DNS-Server zu manipulieren. So können die Angreifer den Internetverkehr ihrer Opfer umleiten.
Das Exploit-Kit greift den Router über den Browser an, wenn man auf einer verseuchten Webseite landet. Dabei wird verschlüsselter JavaScript-Code ausgeführt, der zunächst versucht, die interne IP-Adresse des Routers (https://diafygi.github.io/webrtc-ips/) und das Modell zu ermitteln. Anschließend startet das Exploit-Kit einen auf den Router zugeschnittenen Angriff. Je nach Modell versucht es entweder bekannte Sicherheitslücken auszunutzen oder es probiert Standardzugangsdaten wie admin:admin durch.
Traffic-Umleitung durch DNS-Manipulation
Ist der Angriff erfolgreich, ändert des Kit den im Router eingestellten DNS-Server auf eine IP-Adresse, die unter der Kontrolle der Online-Ganoven steht. Der fortan genutzte DNS-Server liefert vermutlich falsche Antworten zurück, wodurch die Täter den Datenverkehr ihrer Opfer beliebig umleiten können. Versucht das Opfer zum Beispiel Google.de zu erreichen, könnten es die Angreifer auf eine nachgebaute Google-Seite umleiten, auf der massenhaft Werbung eingeblendet wird, deren Erlöse auf das Konto der Angreifer gehen. Ferner können die Täter den manipulieren Router für Phishing oder DDoS-Angriffe missbrauchen.
Die aktuellste Lücke, die das Exploit-Kit auszunutzen versucht, ist gerade einmal seit drei Monaten öffentlich bekannt. Wer einen betroffenen D-Link-Router besitzt, dessen Firmware nicht auf dem aktuellen Stand ist, der ist für die Cyber-Angreifer leichte Beute. Der aktuelle Fund zeigt einmal mehr, dass es nicht nur wichtig ist, dass Router-Hersteller zeitnah abgesicherte Firmware-Versionen veröffentlichen. Die Firmen müssen ihre Kunden auch aktiv über wichtige Updates informieren. Im Idealfall schaut der Router selbst nach Aktualisierungen und installiert sie auf Wunsch automatisch.
Router-Firmware aktualisieren!
Schützen kann man sich vor solchen Angriffen, indem man sich regelmäßig davon überzeugt, dass die Router-Firmware aktuell ist. Sofern der Hersteller den Router mit einem Standardpasswort für das Webinterface ausliefert, sollte man dieses unbedingt ändern, da das Exploit-Kit auch einen Wörterbuchangriff fährt.
Quelle : www.heise.de
-
In zahlreichen NAS von D-Link klaffen Lücken, durch die ein Angreifer schlimmstenfalls die Kontrolle über das Gerät übernehmen kann. So gelingt in einigen Fällen etwa das Einloggen mit als Nutzer root – ohne Passwort.
53 zum Teil kritische Sicherheitslöcher klaffen oder klafften in diversen Netzwerkspeichern von D-Link. Entdeckt hat sie der Pentester Gergely Eberhardt von Search-Lab, der die Details zu den Lücken in einem 32-seitigen PDF-Dokument (http://www.search-lab.hu/media/D-Link_Security_advisory_3_0_public.pdf) beschreibt. Er versucht den Hersteller seit fast einem Jahr dazu zu bringen, sie zu schließen.
Eberhardt stieß auf Schwachstellen verschiedener Gattungen. So gelang es ihm, die Authentifizierung der Web-Konsole gleich auf mehreren Weisen zu umgehen – etwa indem er die standardmäßig vorhandenen Accounts "root" und "nobody" nutzte. Für diese war kein Passwort gesetzt und es ließ sich auch keines setzen. Bei den meisten Lücken handelt es sich um Command-Injection-Lücken, die sich zum Einschleusen und Ausführen von Befehlen eignen. Auch Buffer Overflows finden sich auf der langen Liste der Sicherheitsprobleme.
Betroffene Modelle:
DNS-320
DNS-320B
DNS-320L
DNS-320LW
DNS-322L
DNS-325
DNS-327L
DNS-345
DNR-326
DNR-322L
Laut Eberhardt wurden einige der Lücken durch halbgare Sicherheits-Patches in die Router-Firmware eingeschleust. Das ist dem Hersteller auch schon bei zwei Router-Modellen passiert. Der Pentester steht bereits seit Juli vergangenen Jahres bezüglich der Schwachstellen mit dem Unternehmen in Kontakt – mit dem Ergebnis, dass zumindest viele inzwischen beseitigt wurden.
Wer eines der betroffenen Geräte betreibt, sollte umgehen die jeweils aktuelle Firmware-Version einspielen, um es zumindest so weit abzusichern, wie es derzeit möglich ist. Zudem sollte man darauf achten, dass das Web-Interface des Routers nicht über das Internet erreichbar ist. Eberhardt rät zudem, die UPnP-Funktion abzuschalten.
Quelle : www.heise.de
-
Mit Sicherheits-Updates schließt der Netzwerkausrüster ZyXEL die kritische NetUSB-Lücke in allen betroffenen Modellen.
Der Netzwerkausrüster ZyXEL hat die kritische NetUSB-Lücke in vier seiner Router geschlossen. Abgesicherte Firmware-Updates gibt es für die folgenden Modelle (FTP-Direktlinks):
NBG-419N V2 (http://ftp://ftp.zyxel-tech.de/2.new_mirror/NBG-419N_v2/firmware/Datecode/NBG419N%20v2.zip)
NBG4615 V2 (http://ftp://ftp.zyxel-tech.de/2.new_mirror/NBG4615_v2/firmware/Datecode/NBG4615v2.zip)
NBG5615 (http://ftp://ftp.zyxel-tech.de/2.new_mirror/NBG5615/firmware/Datecode/NBG5615.zip)
NBG5715 (http://ftp://ftp.zyxel-tech.de/2.new_mirror/NBG5715/firmware/Datecode/NBG5715.zip)
Nach Angaben des Herstellers sind keine weiteren ZyXEL-Router von NetUSB betroffen. Durch die Lücke kann ein Angreifer Code auf dem Router mit Kernel-Rechten ausführen. Der Entdecker der Lücke geht davon aus, dass Geräte von bis zu 26 Herstellern anfällig sind oder waren.
Quelle : www.heise.de
-
Nachdem kürzlich ein Exploit-Kit aufgetaucht ist, dass über 50 Router-Modelle verschiedener Hersteller angreifen kann, hat Asus nun Firmware-Updates für 16 Router herausgebracht.
Asus hat die Firmware zahlreicher Router-Modelle abgesichert, um Manipulationen durch Cyber-Kriminelle zu erschweren. Konkret hat der Router-Hersteller neue Schutzfunktionen implementiert, die unberechtigte Zugriff auf das Web-Interface verhindern sollen. Damit reagiert das Unternehmen auf die Angriffe durch das sogenannte Router Exploit Kit, welches den Router angreift, wenn man auf einer verseuchten Webseite landet.
Schutz gegen CSRF
Das Exploit Kit nutzt eine Angriffstechnik namens Cross-Site-Request-Forgery (CSRF), um über den Browser des potenziellen Opfers auf das Web-Interface seines Routers zuzugreifen. Das Kit versucht Sicherheitslücken auszunutzen und probiert gängige Standardpasswörter durch. Gelingt der Einbruch, manipuliert der Schadcode die DNS-Einstellungen, wodurch der gesamte Internetverkehr manipuliert und umgeleitet werden kann.
Mit den Firmware-Updates hat das Exploit Kit nun nicht mehr beliebig viele Chancen, Benutzername und Passwort des Router-Admins zu erraten (Brute-Force-Protection). Wie viele Versuche in welchen Zeitraum erlaubt sind, geht nicht aus den Changelogs hervor. Zudem wird der Nutzer bei der Einrichtung der Internetverbindung nun gezwungen, das Standardpasswort "admin" zu ändern.
Darüber hinaus kann man die Router so konfigurieren, dass der Zugriff auf das Webinterface nur von einer bestimmten IP-Adresse im lokalen Netz erlaubt ist. Last but not least will Asus auch die "Stärke der Authentifizierung" verbessert und CSRF-Lücken beseitigt haben, ohne dabei ins Detail zu gehen.
Firmware-Updates für 16 Router
Abgesicherte Firmware-Versionen findet man im Support-Bereich von Asus (http://www.asus.com/de/support) für die folgenden Modelle:
RT-AC87U/RT-AC87R: Version 3.0.0.4.378.6117
RT-AC3200: Version 3.0.0.4.378.6091
RT-AC68U/RT-AC68P/RT-AC68R/RT-AC68W: Version 3.0.0.4.378.6152
RT-AC56U/RT-AC56R: Version 3.0.0.4.378.6117
RT-AC66U/RT-AC66R/RT-AC66W: Version 3.0.0.4.378.6117
RT-N66U/RT-N66R/RT-AC66W: Version 3.0.0.4.378.6117
RT-AC56S: Version 3.0.0.4.378.6117
Quelle : www.heise.de
-
Unter anderem sind Asus und ZTE betroffen. Über den Telnet-Port können die Angreifer die betroffenen Geräte kapern. Die Hersteller lassen sich mit Updates viel Zeit.
Heimrouter der Firmen Asus, Digicom, Observa Telecom, Philippine Long Distance Telephone (PLDT) und ZTE lassen sich mit wenig Aufwand über Telnet kapern. Die betroffenen Geräte benutzen das fest eingestellte Standardpassword "XXXXairocon", wobei die vier X für die letzten vier Stellen der MAC-Adresse des Gerätes stehen. Diese lässt sich an Hand des SNMP-Traffics des Routers leicht ermitteln.
Bei allen Geräten außer denen von PLDT ist der zu dem Passwort gehörige Benutzername "admin". Bei PLDT-Routern heißt er "adminpldt". Bei den ZTE-Geräten ist die Lücke bereits seit 2014 bekannt, seit Mai kursieren Hinweise auf die selbe Lücke bei den Observa-Geräten. Es muss also davon ausgegangen werden, dass die Lücke auch schon bei anderen Routern für Angriffe genutzt wurde.
Folgende verwundbare Router sind bis jetzt bekannt:
Asus: DSL N12E
Digicom: DG-5524T
Observa :RTA01N
PLDT: SpeedSurf 504AN
ZTE: ZXV10 W300
Keiner der betroffenen Hersteller hat bis jetzt mit Updates reagiert. Das CERT der Carnegie-Mellon-Universität empfiehlt deswegen, den Telnet-Dienst und SNMP-Verkehr der Geräte mit Firewall-Regeln abzuklemmen.
Quelle : www.heise.de
-
"Linux.Wifatch" infiziert Router und mit dem Internet verbundene Geräte, bindet sie in ein Botnetz ein, entfernt Malware und stärkt sie gegen weiterere Infektion.
Handelt es sich um einen hinterlistigen Schad-Code oder um einen Superhelden in Software-Form? Der Symantec-Mitarbeiter Mario Ballano berichtet im Firmen-eigenen Blog über den Linux.Wifatch. Dieser Code befällt Router und andere IoT-Geräte (Internet of Things) und verbindet sie über ein Peer-to-peer-Netz.
Entdeckt wurde Wifatch 2014 von einem unabhängigen Experten, der auf seinem Heim-Router Prozesse bemerkte, die nicht zur eigentlichen Router-Software gehörten. Dabei stieß er auf einen raffinierten Code, der seinen Router in einen Botnet-Zombie verwandelt hatte.
Router und IoT-Geräte sind bei Botnetz-Betreibern beliebt. Sie enthalten zwar wenig interessante Daten, lassen sich aber leicht kontrollieren und beispielsweise für DDoS-Attacken einsetzen. Da sich die Infektion solcher Geräte von den Besitzern nicht so schnell entdecken lässt, bleiben die Zombies lange unbemerkt.
Als Symantec-Spezialisten sich bei der Überwachung solcher Botnetze auch Wifatch genauer anschauten, stießen sie auf ein ungewöhnlich ausgefeiltes Stück Software: WiFatch ist in Perl geschrieben und bringt für die verschiedenen Plattformen den jeweils passenden Interpreter mit. Über das Peer-to-peer-Netz werden Informationen und Updates verteilt, die die Geräte bei neuen Exploits gegen aktuellen Schadcode immunisieren sollen. Ein Modul versucht, vorhandene Malware aus dem infizierten System zu beseitigen. Was die Experten überraschte: Sie konnten keinerlei böswillige Aktivitäten wie DDoS-Attacken oder Spam-Versand beobachten.
Dass Viren die von ihnen infizierten Rechner und Geräte gegen konkurrierenden Schadcode absichern und gegnerische Schädlinge sogar deaktivieren, ist nicht unüblich. Bei Wifatch gibt es jedoch mehrere Unterschiede, die aufhorchen lassen: So deaktiviert der Code den oft als Einfallstor genutzten Telnet-Prozess. Nutzer, die sich via Telnet einloggen wollen, erhalten eine Nachricht, Telnet sei geschlossen worden, um weitere Infektionen zu verhindern. Man solle den Dienst bitte abschalten, das Telnet-Passwort ändern und die Firmware aktualisieren.
Ein weiterer Hinweis: Wifatch tarnt sich nicht, wie bei Malware durchaus üblich. Der Perl-Source-Code ist lediglich komprimiert. In ihm fanden die Symantec-Mitarbeiter sogar einen Kommentar, der die E-Mail-Signatur von Richard Stallmann, Software-Aktivist und Mitgründer des GNU-Projekts und der Free Software Foundation zitiert: "An alle NSA- und FBI-Agenten, die dies lesen: Bitte bedenken Sie, dass die Verteidigung der US-Verfassung gegen alle Feinde, ob ausländisch oder inländisch, erfordert, dass Sie dem Beispiel Snowdens folgen."
Einige Geräte wie die Dahua DVR-CCTV-Systeme (Video-Überwachungs-Systeme) werden von Wifatch wöchentlich rebooted. Das entfernt laufende Malware zuverlässig. Symantec selbst empfiehlt Reboots und das Aufspielen aktueller – und sauberer – Firmware-Versionen.
Trotz aller positiven Eigenschaften bleibt Wifatch aber eine Software, die Geräte ohne Erlaubnis der Eigentümer befällt, manipuliert und Hintertüren öffnet. Der Betreiber von Wifatch arbeitet zwar mit signierten Codes, um zu verhindern, dass böswillige Hacker das Botnetz übernehmen. Doch bleibt Wifatch illegal und potentiell gefährlich: Man stelle sich nur ein medizinisches Gerät wie eine Infusionssteuerung vor, die ohne Vorwarnung neu bootet und damit sogar Menschenleben gefährden kann.
Quelle : www.heise.de
-
Über eine Sicherheitslücke haben Angreifer mindestens 11.000 Netgear-Heimrouter gekapert. Netgear hat einen Patch für die Lücke, der ist aber noch nicht beim Kunden angekommen.
Viele Heimrouter der Firma Netgear haben eine Sicherheitslücke, die es Angreifern erlaubt, die Passwort-Abfrage des Webinterfaces zu umgehen. Die Lücke wird allem Anschein nach schon monatelang von Hackern missbraucht, um Heimrouter aus der Ferne zu kapern. So haben Sicherheitsforscher auf einem Kontrollserver des verwendeten Schadcodes Hinweise entdeckt, die nahelegen, dass mindestens 11.000 Router über die Lücke geknackt wurden.
Uneingeschränkter Zugang aus der Ferne
Forscher von Compass Security hatten festgestellt, dass der Netgear-Router WNR1000v4 die Passwort-Abfrage abschaltet, wenn man die richtige URL im Webinterface aufruft. Das wird legitimerweise bei der ersten Installation des Routers verwendet, bevor der Nutzer des Gerätes ein Passwort vergeben hat. Die Sicherheitslücke besteht darin, dass diese Funktion weiterhin aktiv bleibt. Laut Compass Security ist nicht nur das Model WNR1000v4 betroffen, sondern eine ganze Reihe von Geräten, welche die gleiche Firmware einsetzen. Bestätigt haben die Forscher die Lücke an Hand der Firmware-Versionen N300_1.1.0.31_1.0.1 und N300_1.1.0.28_1.0.1.
Folgende Router sind wahrscheinlich angreifbar:
JNR1010v2
JWNR2000v5
JWNR2010v5
WNR614
WNR618
WNR1000v4
WNR2020
WNR2020v2
Netgear ist laut Compass Security seit drei Monaten über die Lücke im Bilde und hat einen entsprechenden Patch entwickelt, der bis jetzt allerdings noch nicht an Endkunden verteilt wurde. Compass Security hatte die Lücke jetzt offengelegt, da eine andere Sicherheitsfirma die Lücke ebenfalls entdeckt und veröffentlicht hatte. Gegenüber der BBC hat Netgear mitgeteilt, dass der Firmware-Patch am 14. Oktober bereitstehen soll. Die Firma sagte außerdem, weniger als 5.000 Geräte seien betroffen.
Quelle : www.heise.de
-
Bis zu 1,3 Millionen Router im Kabel-Netz von Vodafone sind über WLAN angreifbar. Der Provider verspricht, die Lücken mit Firmware-Updates zu schließen. Das kann sich jedoch noch bis Jahresende hinziehen.
Wer über einen Kabelanschluss von Vodafone (Kabel Deutschland) surft, hat unter Umständen ein handfestes Sicherheitsproblem: Wie c't berichtet, klaffen in zwei der vom Provider eingesetzten Zwangsrouter kritische Schwachstellen. Ein Angreifer kann sich dadurch Zugriff auf das WLAN verschaffen und darüber nicht nur mitsurfen, sondern auch Datenverkehr mitlesen sowie die Rechner der Kunden attackieren.
Anfällig sind die Geräte von Compal Broadband Networks (CBN) und Hitron – nach Einschätzung von c't handelt es sich dabei vermutlich um die meist verbreiteten Modelle im Netz von Kabel Deutschland/Vodafone. Potenziell betroffen sind über eine Million Kunden.
Einfallstor WPS
Bei WPS (Wi-Fi Protected Setup) handelt es sich um eine Komfortfunktion, welche den Verbindungsaufbau mit dem WLAN erleichtert. Statt das potenziell lange und komplizierte WLAN-Passwort etwa mühsam über die Bildschirmtastatur des Smartphones einzutippen, drückt man einen Knopf, um den Client ins Netzwerk zu hieven. Eine weitere Spielart von WPS ist die sogenannte WPS-PIN-Methode, bei der man statt des Passworts lediglich eine achtstellige PIN eingeben muss. Der WLAN-Client erhält anschließend vom Router das WLAN-Passwort, mit dem er die Verbindung herstellen kann.
Die Router sind über WPS-PIN angreifbar. Bei dem Hitron-Modell wird die voreingestellte WPS-PIN einfach von der MAC-Adresse des WLAN-Schnittstelle abgeleitet. Und die MAC-Adresse ist kein Geheimnis: Jeder in Funkreichweite kann sie sehen und daraus mit einem öffentlich bekannten Algorithmus die WPS-PIN berechnen. "Berechnen" ist hier durchaus wörtlich zu nehmen, da man die notwendigen Rechenschritte mit einem handelsüblichen Taschenrechner durchführen kann.
Angriff mit Feenstaub
Beide Router sind zudem für den sogenannten Pixiedust-Angriff anfällig, durch den ein Angreifer ebenfalls die WPS-PIN und somit auch das WLAN-Passwort erfährt. Pixiedust ist bereits seit Ende 2014 öffentlich dokumentiert. Der Angriff ist etwas komplexer und beruht darauf, dass die Router schlechte Zufallszahlen in einem kritischen Schritt des WPS-PIN-Verfahrens einsetzen. Ein Angreifer kann die Router mühelos mit frei verfügbaren Tools attackieren, welche den Angriff weitgehend automatisieren.
Potenziell betroffen sind nach Einschätzung von c't alle Kunden des Providers, welche die betroffenen Router einsetzen und zudem die WLAN-Funktion der Geräte kostenpflichtig vom Provider freischalten lassen haben (2 Euro monatlich). Vodafone bestätigte gegenüber c't die "theoretische Schwachstelle", behauptet aber, dass lediglich Kunden betroffen sind, welche die WPS-PIN-Funktion aktiv genutzt haben – weniger als 1000 in ganz Deutschland. Im Rahmen der c't-Recherche zeigte sich jedoch, dass anscheinend alle Router der beiden Typen anfällig sind, sobald die WLAN-Option beim Provider gebucht wurde. Laut Vodafone ließen weit über eine Million Kunden die WLAN-Schnittstelle der Zwangsrouter kostenpflichtig freischalten.
Techniker ist informiert
Vodafone hat bei den Router-Herstellern Firmware-Updates eingefordert, welche die Sicherheitsprobleme durch das Abschalten der verwundbaren Funktion beseitigen sollen. Das Unternehmen hat nach eigenen Angaben bereits damit begonnen, die Updates zu verteilen. Bis Jahresende sollen 1,3 Millionen Router mit der abgesicherten Firmware versorgt sein. Kunden mit CBN-Routern können selbst aktiv werden, indem sie das anfällige WPS-Verfahren im Web-Interface deaktivieren ("Gateway" / "WLAN" / "WPS"). Beim CVE-30360 hilft laut Vodafone das Aktivieren der Push-Button-Methode (PBC).
Dass der Router bereits auf dem neuen Firmware-Stand ist, soll man daran erkennen können, dass im Web-Interface nicht länger die WPS-PIN-Funktion angeboten wird. Wer auf Nummer sicher gehen will, verzichtet auf die WLAN-Option und betreibt hinter der Provider-Hardware einen eigenen Access-Point – das spart langfristig auch noch Geld.
Quelle : www.heise.de
-
Viele WLAN-Router nutzen für WPS schlechte Zufallszahlen und sind somit für die so genannte Pixiedust-Lücke anfällig. Über die können sich Angreifer das WLAN-Passwort und somit Zugang zum eigentlich gesicherten Heimnetz verschaffen. Da es keine zuverlässigen Listen anfälliger Geräte gibt, kann man sich letztlich nur durch einen Angriff auf den eigenen Router Gewissheit verschaffen, ob der womöglich anfällig ist.
Der c't-Artikel Risiko WPS beschreibt das vereinfachte WiFi Protected Setup (WPS) und dessen Schwächen en Detail. Die dort erklärte Sicherheitslücke Pixiedust – zu deutsch Feenstaub – betrifft nur das WPS-PIN-Verfahren. Wenn Sie das im Router abschalten, werden die im folgenden beschriebenen Angriffe ins Leere laufen. Sie können das beispielsweise über die Android-APP "Wifi Connection Manager" überprüfen: Taucht dort bei Ihrem Netzwerk neben "WPA/WPA2" auch "WPS" auf, so ist auf ihrem Router WPS aktiv und Ihr Router ist ein potentielles Opfer. Ist hingegen nichts von WPS zu sehen, so bedeutet das Entwarnung.
Ein konkreter Pixiedust-Angriff erfordert eine WLAN-Karte im sogenannten Monitor-Mode. In dem kann man WLAN-Verkehr mitschneiden und auch beliebige eigene Datenpakete versenden. Unter Windows bieten WLAN-Treiber diesen Low-Level-Zugriff nicht, mit Linux ist das aber mit kompatibler Hardware möglich. Wer bereits eine Linux-Distribution installiert hat und mit Monitor-Mode vertraut ist, braucht sich nur die Programme Reaver (t6x-mod) und pixiewps zu installieren.
Der ganze Artikel (http://www.heise.de/security/artikel/Router-auf-WPS-Luecken-testen-2865722.html)
Quelle : www.heise.de
-
Durch ein schlecht abgesichertes Wartungsnetz waren 2,8 Millionen Kunden von Kabel Deutschland/Vodafone bis vor kurzem akut gefährdet. Angreifer hätten VoIP-Anschlüsse übernehmen und Modems kapern können.
Durch kritische Schwachstellen in der Infrastruktur von Kabel Deutschland konnte man fremde VoIP-Anschlüsse übernehmen und Modems kapern – das Worst-Case-Szenario für den inzwischen zu Vodafone gehörenden Provider. Entdeckt hat die Lücken der Linux-Entwickler Alexander Graf. Er bat c't, den Kabel-Provider über das Problem aufzuklären.
Graf fand die Lücken eher zufällig: Er verschaffte sich Zugriff auf den Speicher des von Kabel Deutschland gestellten Zwangsrouters, um die VoIP-Zugangsdaten daraus zu extrahieren. Diese hält der Provider nämlich unter Verschluss, weshalb man keine eigene VoIP-Hardware an dem Anschluss betreiben kann.
Als sich Graf in dem Embedded-System des Routers umsah, stieß er auf eine Netzwerkverbindung, die normalerweise unsichtbar ist. Es stellte sich heraus, dass es sich dabei um das interne Wartungsnetz von Kabel Deutschland handelt. Fatalerweise stand dieser Kanal nicht nur den Service-Technikern des Providers offen, sondern auch allen Kunden: Graf konnte über die versteckte Verbindung andere Modems im Kabelnetz über Telnet und später SSH erreichen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Fatales-Sicherheitsleck-bei-Kabel-Deutschland-Vodafone-bedrohte-Millionen-Kabel-Kunden-3054052.html)
Quelle : www.heise.de
-
Durch eine kritische Lücke in den Fritzboxen können Angreifer etwa Telefonate auf fremde Rechnung führen und Code als Root ausführen. Die Lücke hat AVM bereits geschlossen, die Details wurden jedoch bis heute unter Verschluss gehalten.
Durch eine kritische Schwachstelle kann man Code mit Root-Rechten auf diversen Modellen der Fritzbox-Routerserie ausführen. Die Aachener Pentesting-Firma RedTeam hat die Schwachstelle bereits im Frühjahr vergangenen Jahres entdeckt und daraufhin den Hersteller AVM informiert.
Seit Juli steht eine abgesicherte Firmware für die Fritzbox-Modelle 7360 und 7490 bereit, seit Oktober auch für alle anderen betroffenen Geräte. Im dazugehörigen Changelog hat Hersteller die Schwachstelle nicht erwähnt, es findet sich jedoch ein Hinweis auf der AVM-Seite Aktuelle Sicherheitshinweise. Am heutigen Donnerstag hat das RedTeam die Details über seinen Fund veröffentlicht.
Speicher läuft über
Durch die Lücke kann ein Angreifer zum Beispiel Anrufe auf Rechnung des Fritzbox-Betreibers durchführen oder den Datenverkehr des AVM-Routers belauschen und manipulieren. Ferner ist es möglich, Geräte im lokalen Netz anzugreifen.
Es handelt sich um einen Buffer Overflow in dem Dienst dsl_control, der im lokalen Netz der Fritzbox auf Port 8080 lauscht. Der Dienst wartet auf XML-formatierte Datenpakete, über die man unter anderem die Funktion "se" (ScriptExecute) aktivieren kann. Diese prüft die Länge der an sie übergebenen Werte nicht, wodurch es zu einem Speicherüberlauf (Buffer Overflow) kommt, wenn es der Angreifer darauf anlegt. Diesen Überlauf kann er zum Ausführen beliebigen Codes mit Root-Rechten ausnutzen.
Angriffe über Webseiten
Der verwundbare Dienst ist zwar nur im lokalen Netz erreichbar, laut RedTeam lässt sich die Lücke aber auch über speziell präparierte Webseiten ausnutzen, die auf den Dienst im lokalen Netz verweisen (Cross Site Request Forgery, CSRF)
Betroffen sind alle Fritzboxen, auf denen eine Firmware läuft, die älter als 6.30 ist. RedTeam nennt konkret die Modelle 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490. Wer eine solche betreibt, sollte sie umgehend auf den aktuellen Stand bringen, da sie ein beliebtes Angriffsziel für Online-Ganoven ist.
Quelle : www.heise.de
-
Im Speicher der FritzBox wurde ein geheimer Krypto-Schlüssel entdeckt, den nur AVM besitzen dürfte. Er spielt eine zentrale Rolle bei der Sicherheit im Kabelnetz. Hinter den Kulissen arbeiten die Provider seit Monaten daran, ihre Netze wieder abzusichern.
Im Speicher der FritzBox haben Sicherheits-Experten einen geheimen Krypto-Schlüssel entdeckt, den nur AVM besitzen dürfte. Darüber berichtet c't in der aktuellen Ausgabe 24/16. Der Schlüssel ist von zentraler Bedeutung bei der Absicherung der Verbindungen in deutschen Kabelnetzen. Angreifer können schlimmstenfalls fremde Anschlüsse übernehmen. Wie der Schlüssel in die Router kam, ist noch unklar – AVM schweigt sich hierzu aus.
Der ganze Artikel (https://www.heise.de/newsticker/meldung/AVM-entweicht-geheimer-FritzBox-Schluessel-3463752.html)
Quelle : www.heise.de
-
Im Web-Interface einiger Netgear-Router klafft offenbar eine kritische Sicherheitslücke, die Angreifer leicht ausnutzen können, um Code mit Root-Rechten auszuführen. Schutz verspricht bisher nur ein unorthodoxer Weg: Man soll die Lücke selbst ausnutzen.
In Netgear-Routern klafft eine kritische Sicherheitslücke, durch die Angreifer die Kontrolle über die Geräte übernehmen können. Die Lücke ist trivial ausnutzbar, Betroffene sollten daher schnell handeln.
Die Schwachstelle klafft im Webserver der Router, welcher die Web-Konfigurationsoberfläche bereitstellt. Der folgende Request schleust einen Befehl ein, den der Router anschließend mit Root-Rechten ausführt:
http://<Router-IP>/cgi-bin/;BEFEHL
Angriff aus der Ferne
Mehr Aufwand muss ein Angreifer nicht betreiben. Das Webinterface ist zwar standardmäßig nur aus dem lokalen Netz erreichbar, das entschärft die Situation in diesem Fall jedoch nicht: Der Angreifer kann den Browser seines Nutzers anweisen, eine solchen Request über das lokale Netz an den Router zu schicken. Dazu platziert der Angreifer einen Verweis auf einer beliebige Webseite (zum Beispiel als Quelle eines IMG-Elements oder durch ein verstecktes iFrame). Ruft der Router-Besitzer die Webseite auf, wird der Request ausgelöst und der verwundbare Router führt die vom Angreifer vorgegeben Befehle als root aus.
Der ganze Artikel (https://www.heise.de/newsticker/meldung/Netgear-Router-trivial-angreifbar-noch-kein-Patch-in-Sicht-3568679.html)
Quelle : www.heise.de
-
Für die Router R6250, R6400, R7000 und R8000 stehen ab sofort Firmware-Updates zur Verfügung. Die Installation der Updates wird dringend empfohlen. Für weitere sieben Router mit Sicherheitslücke steht bisher nur die Beta-Version zum Download bereit.
Nutzer der Netgear-Router R6250, R6400, R7000 und R8000 können ab sofort die kritische Sicherheitslücken ihrer Router schließen. Für diese vier Typen stehen Firmware-Updates auf der offiziellen Support-Seite zur Verfügung. Die Installation sollte zeitnah vollzogen werden, um Angreifern den Zugriff über das Web-Interface ihres Routers zu verwehren. Für weitere sieben betroffene Modelle stehen weiterhin nur Beta-Versionen zum Download bereit. Der Hersteller hat bisher nicht bekannt gegeben, wann die abgesicherte Firmware dieser Router den Beta-Status verlässt.
Der ganze Artikel (https://www.heise.de/newsticker/meldung/Netgear-Sicherheitsluecke-Updates-fuer-vier-betroffene-Router-fertig-3578415.html)
Quelle : www.heise.de
-
Eine Zero-Day-Lücke plagt mal wieder Router von Netgear. Das verwundbare Modell ist in der Vergangenheit auch schon Opfer gravierender Lücken geworden.
Ein Sicherheitsforscher hat Lücken im Consumer-Router N300 (Modell WNR2000) von Netgear offengelegt, über die ein Angreifer trivial Zugriff auf Administratorfunktionen des Gerätes erlangen kann. Damit können Unbefugte aus dem öffentlichen Netz Internetverbindungs- und WLAN-Einstellungen ändern und den Router nach Belieben neu starten oder zurücksetzen. Der Sicherheitsforscher gibt an, Netgear habe sich nie auf seine Mails zu der Lücke gemeldet – dementsprechend gibt es keinen Patch, es handelt sich also um eine Zero-Day-Lücke.
Das Webinterface des Routers erlaubt das Ausführen von Befehlen auch für Benutzer, die nicht eingeloggt sind. Außerdem kann sich ein Angreifer das Admin-Passwort beschaffen, in dem er einen Zeitstempel korrekt voraussagt. Das ist möglich, da der Router Pseudo-Zufallszahlen fehlerhaft erzeugt und der Zeitstempel so von unbefugten Nutzern erraten werden kann. Da die Beschreibung der Lücken detailliert die entsprechenden Angriffe beschreibt, sollten Nutzer der Geräte davon ausgehen, dass sie geknackt werden können.
Nicht das erste Mal
Bis ein Patch von Netgear vorliegt, können Nutzer die Geräte wohl nur vom Netz nehmen, um auf der sicheren Seite zu sein. Leider ist es auch nicht das erste Mal, dass diese Router-Familie von Sicherheitslücken heimgesucht wird. Unter anderem wurden schon Ende 2015 kritische Lücken in verwandten Geräten gefunden.
Quelle : www.heise.de
-
Gleich 30 Router-Modelle von Netgear enthalten eine Schwachstelle, die es Angreifern ermöglicht, die Admin-Passwörter der Geräte auszulesen und diese komplett zu übernehmen. Die Updates des Herstellers sollten umgehend eingespielt werden.
Netgear und das CERT Bund warnen vor einer großen Anzahl von Netgear-Routern, die sich von Angreifern aus dem internen Netz des Routers kapern lassen. Angreifer können das Administrations-Passwort auslesen, ohne sich anmelden zu müssen und den Router so komplett übernehmen. Sollten Anwender die Fernadministration der Geräte aktiviert haben, lassen sich diese Lücken auch aus der Ferne ausnutzen. Netgear hat Updates für die Geräte bereitgestellt. Links und Details zu den Patches finden sich in der Sicherheitswarnung des Herstellers (http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability).
Betroffen sind die Router AC1450, R6200, R6200v2, R6250, R6300, R6300v2, R6400, R6700, R6900, R7000, R7100LG, R7300, R7900, R8000, R8300, R8500, VEGN2610, WNDR3400v2, WNDR3400v3, WNDR3700v3, WNDR4000, WNDR4500, WNDR4500v2, WNR1000v3, WNR3500Lv2 und die DSL-Router D6220, D6300, D6300B, D6400 und DGN2200Bv4. Auch der Kabelrouter C6300 des Herstellers ist betroffen, Updates für dieses Gerät können allerdings nicht vom Anwender selbst eingespielt werden. Wie bei Kabelroutern üblich, müssen diese vom Provider gewartet werden.
Nutzer dieser Geräte sollten schnellstmöglich alle verfügbaren Updates einspielen. Das CERT Bund schätzt das Risiko von Angriffen auf die Lücke (CVE-2017-5521) als sehr hoch ein. Angesichts der Schwere der Lücke ist es eventuell auch nach dem Einspielen von Updates ratsam, die Fernwartungsfunktion dieser Geräte zu deaktivieren, um auf Nummer Sicher zu gehen. Es ist immerhin denkbar, dass in den Routern weitere Schwachstellen schlummern.
Quelle : www.heise.de
-
Nun sind Angreifer nichtmal mehr auf die Kommunikation von regulären Nutzern mit dem WLAN-Router angewiesen.
Sicherheitsforscher, die unter dem Namen Hashcat am gleichnamigen Passwort-Cracker zusammenarbeiten, haben einen Beitrag veröffentlicht, in dem sie einen vereinfachten Angriff auf die gängige WLAN-Verschlüsselung WPA2 erklären. Sie beschreiben detailliert, wie man ihre Tool-Chain hcxdumptool, hcxtools und hashcat dafür einsetzt.
Noch ist unklar, welche WLAN-Geräte oder wie viele Router gegen diesen vereinfachten Angriff anfällig sind. Die Autoren glauben aber, dass die Attacke gegen alle Geräte wirksam ist, die gemäß den IEEE-Spezifikationen 802.11i, p, q und r mit eingeschaltetem WLAN-Roaming arbeiten. Das sei beim Großteil der modernen Router der Fall.
Der Hauptunterschied zu bisherigen Angriffen besteht darin, dass Angreifer den kompletten 4-Wege-Handshake nicht mehr wie bisher erfassen müssen. Das jetzt veröffentlichte Verfahren setzt am Robust Security Network Information Element an (RSN IE) und kommt mit einem einzigen EAPOL-Frame aus.
Direkter Angriff auf den Access-Point
Deshalb ist nun keine Kommunikation eines regulären WLAN-Nutzers mehr erforderlich; der Angreifer kommuniziert direkt mit dem Access-Point (aka "client-less" attack). Entsprechend muss ein Angreifer auch nicht mehr auf einen kompletten 4-Wege-Handshake zwischen einem regulären User und dem Access-Point warten. Störungen wie sie EAPOL-Retransmissions, ungültige Passwörter oder zu hohe Entfernung zwischen User und Access-Point verursacht haben, treten ebenso nicht mehr auf.
Die Autoren merken in ihrem Beitrag zudem an, dass sie die neue Methode "zufällig gefunden" haben, während sie Wege suchten, um die seit kurzem standardisierte WPA3-Verschlüsselung zu knacken. Zugleich räumen sie ein, dass WPA3 weit schwerer als WPA2 zu knacken sei, weil es für den Schlüsselaustausch das moderne Protokoll "Simultaneous Authentication of Equals" (SAE) verwendet. Was WPA3 bringt, haben wir erst kürzlich anlässlich der Standardisierung zusammengefasst.
Höchste Zeit für WPA3-Einführung
Spätestens jetzt sollten Hersteller Ihre Router mit dem neuen WPA3-Standard nachrüsten, denn dass die jahrelange Suche nach WPA2-Anfälligkeiten allmählich Erfolge zeitigt, ist auch der WiFi Association schon länger klar. Wenn man aber bisherige Update-Gewohnheiten der Firmen betrachtet, ist die Hoffnung nicht gerade groß, dass nun umgehend viele Router aktualisiert werden, zumal die besonders preisgünstigen...
Quelle : www.heise.de