Dipl.-Inform. Carsten Eilers

Am 25. Juli musste Cisco zwei Schwachstellen in seinen Gateways beheben. Betroffen waren die Web Security Virtual Appliance (WSAv), die Email Security Virtual Appliance (ESAv) und die Security Management Virtual Appliance (SMAv).

Die Schwachstellen bestanden aus zwei Standard-SSH-Schlüsseln:

• Zum einen enthielten die Appliances einen auf allen Installationen gleichen Standard-Authorized-SSH-Schlüssel, über den ein Angreifer von außen auf die Appliances zugreifen konnte (CVE-2015-4216). Ein Angreifer, der den passenden geheimen Schlüssel besitzt, konnte sich damit bei jeder Appliance als root-Benutzer anmelden.
• Zum anderen sind auch die Host-Keys bei allen Appliances gleich (CVE-2015-4217). Ein Angreifer mit Zugriff auf den zugehörigen privaten Schlüssel kann sich als eine der WSAv-, ESAv- oder SMAv-Appliances ausgeben und zum Beispiel als Man-in-the-Middle den gesamten darüber laufenden Netzwerkverkehr lesen und/oder manipulieren.

Beide Schwachstellen zusammen erlauben es dem Angreifer, alle betroffenen Appliances in einem Netz zu übernehmen.

Wie der Angreifer an die privaten Schlüssel gelangen kann wurde von Cisco nicht verraten. Man sollte annehmen, dass die Standard-Schlüssel zur Vereinfachung des Supports installiert wurden und die zugehörigen privaten Schlüssel nur Cisco bekannt sind. Und vielleicht der NSA?

Statische SSH-Schlüssel werden zum Beispiel von Rapid7 gesammelt. Bisher sind die Cisco-Schlüssel dort nicht aufgetaucht.

Sie sehen also: Auch professionelle Geräte sind nicht zwingend sicherer als die SOHO-Router. Einen Überblick über Schwachstellen in Cisco-Geräten finden Sie auf CVE-Details. Leider gibt es dort keine Kategorie "Default-Zugangsdaten" oder ähnliches. Unter "Bypass something" dürften aber etliche Fälle von "Umgehen der Authentifizierung" enthalten sein. Oft wohl mit Default-Passwörtern und ähnlichem.

28. Mai - Viele Router, viele Schwachstellen; Teil 1

Am 28. Mai haben Jose Antonio Rodriguez Garcia, Alvaro Folgado Rueda und Ivan Sanz de Castro von der Universidad Europea de Madrid etliche Schwachstellen in 22 verschiedenen Routern veröffentlicht. Die ich im folgenden in alphabetischer Reihenfolge aufliste. Über Updates liegen keine Informationen vor

Amper

• Amper ASL-26555; Firmware v2.0.0.37B_ES
  • Über mehrere Parameter ist Persistentes Cross-Site Scripting möglich
  • Externe Angreifer können über DHCP-Requests Cross-Site Scripting Angriffe durchführen
  • In allen Formularen der alternativen Weboberfläche auf Port 8000 ist Cross-Site Request Forgery (CSRF) möglich
  • Schwachstellen in Universal Plug and Play (UPnP) erlauben Änderung der Firewall-Regeln und DoS-Angriff
• Amper Xavi 7968 und 7968+; Firmware 3.01APT94
  • Externe Angreifer können über DHCP-Requests Cross-Site Scripting Angriffe durchführen
  • Schwachstellen in Universal Plug and Play (UPnP) erlauben Änderung der WPS-Konfiguration

Astoria

• Astoria ARV7510; Firmware 00.03.41
  • In allen Formularen ist Cross-Site Request Forgery (CSRF) möglich
  • Auf angeschlossene USB-Massenspeicher kann ohne Authentifizierung zugegriffen werden

Belkin

• Belkin F5D7632-4; Firmware 6.01.04
  • In allen Formularen ist Cross-Site Request Forgery (CSRF) möglich
  • Denial of Service (DoS) durch über CSRF erzwungenen Reboot
  • Schwachstellen in Universal Plug and Play (UPnP) erlauben Änderung der Firewall-Regeln und DoS-Angriff

Comtrend

• Comtrend 536+; Firmware A101-220TLF-C35
  • Schwachstellen in Universal Plug and Play (UPnP) erlauben Änderung der Firewall-Regeln und DoS-Angriff
• Comtrend AR-5387un; Firmware A731-410JAZ-C04_R02
  • Über mehrere Parameter ist Persistentes Cross-Site Scripting möglich
  • Externe Angreifer können über DHCP-Requests Cross-Site Scripting Angriffe durchführen
• Comtrend CT-5365; Firmware A111-306TKF-C02_R16
  • Über mehrere Parameter ist Persistentes Cross-Site Scripting möglich
  • Externe Angreifer können über DHCP-Requests Cross-Site Scripting Angriffe durchführen
  • In allen Formularen ist Cross-Site Request Forgery (CSRF) möglich
  • Schwachstellen in Universal Plug and Play (UPnP) erlauben Änderung der Firewall-Regeln und DoS-Angriff
• Comtrend VG-8050; Firmware SB01-S412TLF-C07_R03
  • Über mehrere Parameter ist Persistentes Cross-Site Scripting möglich
  • Externe Angreifer können über DHCP-Requests Cross-Site Scripting Angriffe durchführen
• Comtrend WAP-5813n; Firmware P401-402TLF-C02_R35 und P401-402TLF-C04_R09
  • Über mehrere Parameter ist Persistentes Cross-Site Scripting möglich
  • In allen Formularen ist Cross-Site Request Forgery (CSRF) möglich
  • Schwachstellen in Universal Plug and Play (UPnP) erlauben Änderung der Firewall-Regeln und DoS-Angriff

In der nächsten Folge folgt der Rest der von den Forschern der Universidad Europea de Madrid entdeckten Router-Schwachstellen. Aber ist ihnen etwas aufgefallen? Die Forscher haben in den oben aufgeführten Geräten keine Default-Zugangsdaten gemeldet. Jedenfalls keine, die immer funktionieren. Maximal ist es möglich, das Gerät zu resetten und dann die Default-Zugangsdaten zu nutzen. Was den Angreifer nicht besonders weit bringt - er kommt dann zwar auf den Router, der Router mangels Zugangsdaten (die wurden ja gelöscht) nicht mehr ins Internet. Was sehr schnell einen Admin auf den Plan rufen dürfte, der dann seinerseits das Gerät neu konfiguriert und sicher auch wieder ein sicheres Passwort setzt. Danach kommt der Router wieder ins Internet, der Angreifer aber nicht mehr auf den Router. Dumm gelaufen - für den Angreifer.

Carsten Eilers