Dipl.-Inform. Carsten Eilers

Am 25. August hat das US-CERT vor einer Reihe von Routern gewarnt, die hart-kodierte Zugangsdaten für den Telnet-Zugang verwenden. Betroffen sind Geräte der Hersteller Asus, Digicom, Observa Telecom, Philippine Long Distance Telephone (PLDT) und ZTE.

Betroffen sind zum Beispiel die Geräte

• Asus DSL-N12E,
• Digicom DG-5524T,
• Observa Telecom RTA01N (bereits am 28. Mai auf der Mailingliste Full-Disclosure veröffentlicht),
• Philippine Long Distance Telephone (PLDT) SpeedSurf 504AN und Kasda KW58293 sowie
• ZTE ZXV10 W300 (darin schon 2013 vom US-CERT gemeldet, die Schwachstelle hat in diesem Fall die CVE-ID CVE-2014-0329 und der Hersteller gibt an, als Schutz schon 2011 Telnet in der Default-Einstellung ausgeschaltet zu haben, dazu unten mehr)

Der Benutzername bei den Geräten von Asus, Digicom, Observa Telecom und ZTE lautet "admin", bei den Geräten von PLDT ist er "adminpldt". Das Passwort ist bei allen Geräten nach dem gleichen Muster aufgebaut: Es lautet "XXXXairocon", wobei die XXXX die letzten vier Zeichen der MAC-Adresse des Geräts sind. Die kann zum Beispiel über SNMP abgefragt werden.

Da es bisher keine Lösung der Hersteller gibt empfiehlt das US-CERT, sowohl Telnet als auch SNMP in der Firewall zu blockieren, so dass keine Angriffe aus dem Internet heraus möglich sind.

Sehr interessant finde ich die Reaktion von ZTE auf die Meldung der Schwachstelle durch das US-CERT:

"According to the vulnerability found in ZTE ZXV10 W300 router version 2.1.0, a mitigation measure has been adopted in the W300 general frame structure versions after 2011, which means the ZTE ZXV10 W300 router produced since 2011 has closed the telnet default function to avoid the information security incident caused by such vulnerability. If any customer has a special requirement, please follow the instructions in our product manual to open the telnet function, but ZTE will not bear the legal liability for any security incident loss that might be the consequence of this operation. ..."

Wieso hat man nicht einfach die hart-kodieren Zugangsdaten gelöscht und die Schwachstelle damit ein für alle mal behoben, statt nur als Workaround Telnet auszuschalten? Oder was bedeutet "closed" in diesem Fall sonst? Wenn der Benutzer Telnet verwenden möchte, kann er dann ja problemlos selbst ein selbst gewähltes, sicheres Passwort setzen. Oder gibt es diese Funktion in der Firmware etwa gar nicht?

16. Juli - TOTOLINK-Router mit Hintertüren und Schwachstellen

Am 16. Juli haben Pierre Kim und Alexandre Torres eine Reihe von Schwachstellen sowie Hintertüren in diversen TOTOLINK-Routern entdeckt. Die meisten Schwachstellen hatten sie zuvor schon in den ipTIME-Geräten des gleichen Herstellers entdeckt (dazu später mehr). Ihre Entdeckungen haben die beiden in mehreren Blogartikeln beschrieben:

Backdoor credentials found in 4 TOTOLINK router models

Vier Geräte enthalten eine Hintertür in Form von 2 Telnet-Zugängen mit bekannten Passwort: root/12345 und onlime_r/12345.

Die Entdecker haben den Hersteller nicht über die Schwachstelle informiert. Was in so einem Fall auf dem ersten Blick auch überflüssig ist, denn diese Zugangsdaten sind ja nicht aus dem Nichts erschienen, die müssen bei der Entwicklung der Firmware mit Absicht eingerichtet worden sein.

Das könnte mit böser Absicht geschehen sein. Genau so ist es aber auch möglich, dass sie für Testzwecke verwendet wurden und man einfach vergessen hat, sie in der finalen Version zu löschen. Man soll ja nicht alles gleich mit Boshaftigkeit erklären, wenn es sich auch einfach mit Dämlichkeit erklären lässt.

Am 30.7. hat TOTOLINK ein Statement veröffentlicht, in dem zur Änderung eines Default-Passworts aufgefordert wird. Im gleichen Statement erklärt man, dass man keine Überwachungssoftware auf in Hong Kong verkauften Geräten installiert hat (was mich spontan zur Frage "Und was ist mit anderen Märkten?" bringt). Von der gleich beschriebenen Hintertür ist im Statement gar keine Rede.

Backdoor and RCE found in 8 TOTOLINK router models

In acht Geräten wurde eine Hintertür und die Möglichkeit zum Einschleusen von Befehlen entdeckt. Über einen speziellen Request an den WAN-Port der Geräte kann die Webbasierte Managementoberfläche aktiviert werden. Die enthält ein verborgenes Formular, über das unter Umgehung der Authentifizierung Befehle eingeschleust werden können, die dann mit root-Rechten ausgeführt werden.

So eine Hintertür lässt sich wohl kaum durch Schluderei erklären, die ist mit ziemlicher Sicherheit mit Absicht in den Geräten vorhanden. Pierre Kim und Alexandre Torres haben sie daher auch nicht an den Hersteller gemeldet.

Trotzdem hat der Hersteller die Hintertür in der aktuellen Firmware deaktiviert. Jedenfalls in den meisten, in der Firmware für N300RH-V3 Router ist sie nach wie vor aktiv.

Die Hintertür wurde auch nicht gelöscht, das Programm ist nach wie vor vorhanden. Es wird aber nicht mehr beim booten des Geräts gestartet. Der entsprechende Befehl in /etc/init.d/rcS wurde auskommentiert. Sicherheitshalber sollte man die Hintertür aber komplett entfernen. Schon, um sicher zu gehen, dass sie nicht irgendwann in Zukunft ganz aus Versehen wieder aktiviert wird. Es reicht ja, das Kommentarzeichen vor dem Befehl in der /etc/init.d/rcS zu entfernen.

Ob auch die unten aufgeführten Schwachstellen inzwischen behoben wurden ist nicht bekannt. Der Hersteller hält es ja nicht für nötig, in der "Firmware Update Release Information" mehr als Versionsnummern anzugeben, und Pierre Kim und Alexandre Torres haben es nicht geprüft.

15 TOTOLINK router models vulnerable to multiple RCEs

In 15 Modellen wurden Schwachstellen gefunden, über die Befehle eingeschleust werden können. 13 davon sind von beiden Schwachstellen betroffen, die restlichen zwei betrifft nur die Schwachstelle im DHCP-Server.

Über den HTTP-Server der betroffenen Geräte können CGI-Skripte aufgerufen werden, von denen einige das Einschleusen eigener Befehle erlauben. Unter anderen können so die im Klartext gespeicherten Zugangsdaten ausgespäht oder eine Hintertür geöffnet werden. Das Skript /bin/d.cgi ist bereits eine absichtlich installierte Hintertür.

Der DHCP-Server der betroffenen Geräte erlaubt ebenfalls die Ausführung beliebiger Befehle, die über Shell-Metazeichen im Hostname-Feld eingeschleust werden.

Beide Schwachstellen können aus dem LAN ausgenutzt werden, alle betroffenen Router sind in der Default-Konfiguration verwundbar.

Aufgrund der gefundenen Hintertüren haben Pierre Kim und Alexandre Torres den Hersteller nicht informiert. Er wurde aber im April 2015 über die in den auch von ihm produzierten ipTIME-Geräten ebenfalls vorhandene Schwachstelle in den CGI-Skripten informiert. TOTOLINK hat diese Schwachstelle am 13. Juli stillschweigend in den Modellen A2004NS und EX750 behoben, laut Pierre Kim und Alexandre Torres ist aber auch die aktualisierte Firmware verwundbar.

4 TOTOLINK router models vulnerable to CSRF and XSS attacks

In vier Modellen wurden CSRF- und XSS-Schwachstellen gefunden. Über CSRF kann zum Beispiel die Konfiguration der Geräte manipuliert werden. Die XSS-Schwachstelle ist nur aus dem LAN ausnutzbar.

Auch über diese Schwachstellen wurde der Hersteller von den Entdeckern nicht informiert.

In der nächsten Folge gibt es weitere Schwachstellen in Routern. Möchte jemand wetten, ob da Default-Zugangsdaten dabei sind? Nein? Aber wieso denn das nicht?

Carsten Eilers