Skip to content

Router-Schwachstellen 2015, Teil 5: Ein Exploit-Kit für Router und die NetUSB-Schwachstelle in vielen Routern

Geschrieben von Carsten Eilers am um 13:28

Diesmal gibt es vor den Schwachstellen in SOHO-Routern einen Angriff darauf. Als kleines Beispiel, wieso man Schwachstellen besser beheben sollte.

22. Mai - Ein Exploit-Kit gegen Router

Am 22. Mai hat Kafeine ein Exploit-Kit beschrieben, dass nicht wie sonst üblich Windows-Rechner angreift, sondern Router.

Präparierte Webseiten stellen mit Hilfe von WebRTC und STUN-Requests wie bereits beschrieben die lokale IP-Adresse fest, um dann über bekannte Schwachstellen oder mit Hilfe von Default-Zugangsdaten Zugriff auf den Router zu erlangen. Danach werden dessen DNS-Einstellungen manipuliert, so dass die DNS-Abfragen an einen Server der Cyberkriminellen gehen. Die dann den Netzwerkverkehr ihrer Opfer beliebig umleiten können.

Am 18. Mai wurden die folgenden Router angegriffen:

  • Asus
    • AC68U
    • RT56-66-10-12
    • RTG32
    • RTN10P
    • RTN56U
    • RTN66U
    Asus hat im Juni Firmware-Updates veröffentlicht, die die Angriffe erschweren: Es gibt einen Schutz vor Brute-Force-Angriffen, und bei der Einrichtung des Routers muss das Standard-Passwort geändert werden. Außerdem kann der Router so konfiguriert werden, dass der Zugriff auf das Webinterface nur von einer bestimmten lokalen IP-Adresse möglich ist. Darüber hinaus wurde die "Stärke der Authentifizierung" verbessert und nicht näher beschriebene CSRF-Schwachstellen wurden behoben.
  • BELK-PHILIPS (?)
  • Belkin
    • F5D7230-4
    • F5D8236-4V2
    • F9k1105V2
    • F5D7231-4
    • F5D7234-4
    Angriffe erfolgen unter anderem über die 2008 entdeckte fehlende Authentifizierung in bestimmten Firmware-Versionen mit der CVE-ID CVE-2008-1244.
  • D-Link
    • D2760
    • DIR-2740R
    • DIR-600
    • DIR-601
    • DIR-604
    • DIR-615
    • DIR-645
    • DIR-651
    • DIR-810L
    • DIR-826L
    • DSLG604T
    • WBR1310
    Angriffe erfolgen unter anderem über die Anfang März behobene Command-Injection- Schwachstelle mit der CVE-ID CVE-2015-1187.
  • Edimax BR6208AC
  • Linksys
    • BEFW11S4 V4
    • BEFW11S4 V4
    • L000
    • L120
    • LWRT54GLV4
    • WRT54GSV7
    • WRT54GV8
    • X3000
  • Medialink WAPR300N
  • Microsoft MN-500
  • Netgear
    • DG834v3
    • DGN1000
    • DGN1000B
    • DGN2200
    • DGN2200
    • WNDR3400
    • WNR834Bv2
    • WPN824v3
  • Netis
    • WF2414
    • WF2414
  • TENDA 11N
  • TP-Link
    • ALL
    • WR940N
    • WR941ND
    • WR700
    Angriffe erfolgen unter anderem über die 2013 entdeckte CSRF-Schwachstellen mit der CVE-ID CVE-2013-2645.
  • TRENDnet
    • E300-150
    • TW100S4W1CA
  • TRIP
    • TM01
    • TM04
  • Zyxel
    • MVR102
    • NBG334W
    • NBG416

Ob Sie einen verdächtigen DNS-Server verwenden, können Sie mit dem F-Secure Router Checker prüfen.

19. Mai - Kritische Schwachstelle in vielen Routern

Am 19. Mai hat SEC Consult ein Security Advisory zu einer kritischen Schwachstelle in vielen Routern veröffentlicht.

Die Schwachstelle befindet sich in der Implementierung von NetUSB, einer von KCodes entwickelten proprietären Technologie zur Bereitstellung von USB Over IP. Darüber können zum Beispiel USB-Drucker oder externe Festplatten im lokalen Netz freigegeben werden.

Im Kernel-Treiber von NetUSB wurde eine stackbasierte Pufferüberlaufschwachstelle (CVE-2015-3036) gefunden. Zum Überlauf kommt es, wenn der Client während des Verbindungsaufbaus einen Namen sendet, der länger als 64 Zeichen ist. Ein Angreifer kann über die Schwachstelle Code einschleusen, der mit Kernel-Rechten ausgeführt wird.

Ebenfalls interessant: Offiziell ist für die Nutzung von NetUSB zwar eine Authentifizierung nötig, der dafür verwendete statische AES-Schlüssel ist aber sowohl im Kernel als auch in den Treibern für Windows und Mac OS X enthalten.

Laut SEC Consult sind mindestens 92 Geräte der Hersteller D-Link, Netgear, TP-Link, TRENDnet und ZyXEL verwundbar. Die Geräte weiterer 21 Hersteller, die NetUSB verwenden, wurden nicht getestet.

Im Allgemeinen ist NetUSB nur im LAN zugänglich, es wurden aber vereinzelt auch Router entdeckt, bei denen der betreffende Port (TCP, 20005) auch aus dem Internet zugänglich ist. Ob das evtl. Folge einer Fehlkonfiguration war oder generell so sein soll, ist nicht bekannt.

KCodes wurde von SEC Consult im Februar informiert, war aber nicht sehr kooperativ. Daraufhin wurden TP-Link und Netgear von SEC Consult direkt informiert, die restlichen betroffenen Hersteller über das CERT/CC und weitere CERTs.

Einige Hersteller haben zügig Firmware-Updates bereit gestellt, andere nicht. Weiterführende Informationen gibt es von D-Link, Netgear, TP-Link, TRENDnet und ZyXEL.

Als Workaround kann NetUSB teilweise über die Weboberfläche ausgeschaltet werden. Zumindest bei Netgear-Geräten kann die Schwachstelle aber trotzdem ausgenutzt werden. Netgear hat SEC Consult mitgeteilt, dass es keinen Workaround gibt. Weder kann der Port in der Firewall gesperrt noch der Service deaktiviert werden.

Das ist ja eine ganz entzückende Schwachstelle, die sich die Hersteller da eingefangen haben. Und genau so entzückend geht es in der nächsten Folge auch weiter.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Drucksache: IT Administrator 1.16 - MitM-Angriffe auf HTTPS

Vorschau anzeigen
Im IT-Administrator Januar 2016 ist ein Artikel über Angriffe auf HTTPS-Verbindungen erschienen. HTTPS schützt eine Verbindung sowohl vor dem Abhören als auch vor Manipulationen. Aber nur, wenn sich der Angreifer nicht in die

Dipl.-Inform. Carsten Eilers am : Die Router-Schwachstellen des Jahres 2015 als eBook

Vorschau anzeigen
Die Übersicht über die Router-Schwachstellen des Jahres 2015 ist komplett. Allerdings auch etwas unübersichtlich: Filet-o-Firewall - ein neuer browserbasierter Angriff auf die Firewall Router-Schwachstellen 2015, Teil