Dipl.-Inform. Carsten Eilers

Konfigurationsänderungen am Router per UPnP – aus dem Internet

Geschrieben von Carsten Eilers am

Eine Schwachstelle oder besser ein Designfehler in vielen DSL-Routern und
Kabelmodems erlaubt den Zugriff auf die UPnP-Funktion aus dem Internet.
Die Folgen sind weitreichend: Ein Angreifer kann auf das lokale Netz
zugreifen oder das angegriffene Gerät als Proxy z.B. zum Download
illegaler Inhalte missbrauchen. Beim Rückverfolgen des Downloads
endet die Spur dann beim betroffenen Gerät – und dessen Benutzer kann
sich nicht erklären, wieso er einer Tat beschuldigt wird, die er nicht
begangen hat.

Mit UPnP von außen ins lokale Netz… oder weiter

Daniel Garcia hat auf der vom 4. bis 7. August 2011 abgehaltenen
Sicherheitskonferenz
DEF CON 19
einen Angriff auf bzw. Schwachstellen in einigen DSL-Routern und
Kabelmodems
beschrieben
(Präsentation zum
Download):
Die Router unterstützen auch auf der WAN-Schnittstelle UPnP (Universal
Plug and Play), so dass sie aus dem Internet zugänglich sind. Ein
Angreifer kann die Geräte z.B. so umkonfigurieren, dass sie als Proxy
dienen oder über sie auf das interne LAN zugreifen. Das grundsätzliche
Problem des
unsicheren UPnP
ist seit mindestens 2001 bekannt, bis zu den Router-Herstellern scheint es
sich aber nicht herumgesprochen zu haben. Dan Kaminsky ist übrigens
zufällig auf das gleiche Problem gestoßen, als er Bitcoin auf Schwachstellen
untersuchte.

Zur Demonstration der Angriffe hat Daniel Garcia das Python-Skript Umap
zum Download bereit gestellt. Seine
Original-Website
ist zumindest zur Zeit nicht erreichbar, es gibt aber Kopien des
Tools, z.B.
auf Packet Storm.

Insgesamt stellt Umap drei Funktionen bereit:

  1. Einen SocksV4-Proxy, der Requests automatisch durch UPnP-Geräte
    weiterleitet,

  2. einen TCP/UDP-Scanner und
  3. einen manuellen Port-Mapper für UPnP-Geräte

UPnP übers Internet – fast so einfach wie Plug&Play

Umap sucht im Internet nach UPnP-fähigen Geräten wie DSL-Routern
und Kabelmodems. Eigentlich ist UPnP nur für lokale Netze vorgesehen,
in denen UPnP-fähige Geräte über Multicast-Requests gesucht
werden. Danach wird dann die XML-Beschreibung der Geräte über
HTTP und SOAP angefordert, auch die darauf ggf. folgende
Konfigurationsänderung etc. erfolgt über HTTP/SOAP. Auf den
Geräten muss also generell ein HTTP-Server auf entsprechende Requests
warten. Umap löst das Problem der Suche, indem die XML-Beschreibungen
der Geräte direkt abgefragt werden, für einige Modelle sind die
benötigten URL und Ports bereits im Skript enthalten. Bei
Geräten von Linksys, Edimax, Sitecom und Thomson (einschließlich
Speedtouch/Alcatel/Thomson) nehmen die HTTP-Server für UPnP auch auf
der WAN-Schnittstelle Requests entgegen – und genau darin besteht die
Schwachstelle.

Da UPnP keine Authentifizierung kennt, ist zumindest die Abfrage der
XML-Beschreibung immer möglich. Nach dem ersten Verbindungsaufbau
sendet Umap dann über SOAP-Requests Befehle wie “AddPortMapping” an
die Geräte, die eigentlich von anderen Geräten im LAN verwendet
werden, um über NAT auf das Internet zuzugreifen. Umap mappt den Port
dann auf ein beliebiges Gerät im LAN, dessen IP-Adresse erraten wird,
und versucht so, Hosts und Services im LAN zu erkennen.

Da das Mapping auch mit IP-Adressen im Internet funktioniert, kann der
Angreifer das angegriffene Gerät auch als Proxy missbrauchen, um z.B.
illegale Inhalte herunter zu laden oder anonym zu surfen.

Die meisten DSL-Router und Kabelmodems sind beim Loggen ziemlich
nachlässig, daher lässt sich ein Angriff meist nicht erkennen
oder gar nachweisen. Die entsprechenden Informationen landen schlicht und
einfach gar nicht im Logfile.

Gegenmaßnahme: UPnP ausschalten. Teilweise oder ganz

Das Problem lässt sich ganz einfach dadurch lösen, dass UPnP
für die WAN-Schnittstelle ausgeschaltet wird. Wenn der Hersteller des
DSL-Routers oder Kabelmodems dass denn vorgesehen hat. Wenn nicht, bleibt
nur die Möglichkeit, UPnP komplett auszuschalten. Was wiederum u.U.
dazu führt, das Geräte im LAN keine Verbindung ins Internet mehr
aufbauen können, da sie den Router bzw. das Modem nicht mehr finden
bzw. nicht mehr passend konfigurieren können.

Soviel zur aktuellen Gefährdung von Home-Routern und Co. über das
bzw. aus dem Internet. In der
nächsten Folge
geht es um mehr oder weniger
aktuelle Entwicklungen im Bereich der WLAN-Sicherheit.

Carsten Eilers

Übersicht über alle Artikel zum Thema

WEP, WPA, WPA2 – WLAN-Schutz, aber richtig!

“Hole196” – Eine neue Schwachstelle in WPA2

DNS-Rebinding – Ein altbekannter Angriff kompromittiert Router

Von außen durch den Client in den Router

Ciscos “WPA Migration Mode” öffnet den Weg ins WLAN

NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool

Angriffe auf den WLAN-Client

BEAST – Ein neuer Angriff auf SSL und TLS 1.0

Konfigurationsänderungen am Router per UPnP – aus dem Internet

WLAN-Sicherheit – Stand der Dinge

WPS-Schwachstelle gefährdet WLANs

Trackbacks

Dipl.-Inform. Carsten Eilers am : Mal wieder nichts Gutes zu Routern…

Vorschau anzeigen
Es gibt mal wieder einige Neuigkeiten zu Routern, und wie üblich keine guten. Ein DoS-Botnet, aufgebaut aus Routern Ein DoS-Botnet namens Lizard Stresser war für die DoS-Angriffe auf die Spiele-Netzwerke von Sony und Microsoft z

Dipl.-Inform. Carsten Eilers am : Filet-o-Firewall – ein neuer browserbasierter Angriff auf die Firewall

Vorschau anzeigen
Jetzt habe ich gestern doch glatt vergessen, den Text online zu stellen. Also mit kurzer Verzögerung: Wie angekündigt geht es ab dieser Folge erst mal wieder um aktuellere Themen. Den Anfang machen Schwachstellen in und Angriffe au

Kommentare

Ansicht der Kommentare:
Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben






Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.



Standard-Text Smilies wie 🙂 und 😉 werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!