Dipl.-Inform. Carsten Eilers

Eine Schwachstelle im MiniIGD SOAP Service des Realtek SDK für WLAN-Controller erlaubt die Ausführung beliebigen Codes mit root-Rechten (CVE-2014-8361). Da Realtek an der von Ricky "HeadlessZeke" Lawshae gefundenen und über die Zero Day Initiative an Realtek gemeldeten Schwachstelle kein Interesse hatte, wurde sie von der Zero Day Initiative letztlich als 0-Day veröffentlicht.

Die Schwachstelle betrifft mindestens D-Link- und Trendnet-Router und kann ausgenutzt werden, wenn UPnP aktiviert ist. Betroffene Geräte erkannt man am String RealTek/v1.3 oder ähnlich als Antwort auf einen msearch-UPnP-Request. Für das Metasploit-Framework gibt es ein Modul zum Testen der Schwachstelle, das mit dem Trendnet TEW-731BR erfolgreich getestet wurde.

HP hat eine Analyse der Schwachstelle veröffentlicht. Dort hat man die Schwachstelle an Hand des Trendnet TEW-731BR Routers mit Firmware v1.02b05 (veröffentlicht im Juni 2014) und miniigd Version 1.07 getestet. Der MiniIGD SOAP Service lauscht auf TCP-Port 52869 (der Port kann aber geändert werden). Beim Verarbeiten des NewInternalClient-Requests werden die Eingaben nicht korrekt gefiltert, so dass darüber Shell-Befehle eingeschleust werden können, die dann mit root-Rechten ausgeführt werden.

D-Link hat ein Security-Advisory veröffentlicht, dass ich nur noch via Archive.org gefunden habe. Dem zu Folge sind folgende Geräte betroffen, für die es bereits Firmware-Updates gibt:

• DIR-501
• DIR-515
• DIR-600L
• DIR-605L
• DIR-615
• DIR-619L
• DIR-809
• DIR-900L
• DIR-905L

17. April - Schwachstellen in etlichen ipTIME-Geräten

Pierre Kim und Alexandre Torres haben am 20. April ein Advisory zu mehreren Schwachstellen in 112 Routern/Access Points/Modems/Firewalls der Marke ipTIME des koreanischen Herstellers EFM Networks veröffentlicht.

Mehrere CGI-Skripte erlauben das Einschleusen von Befehlen, die dann vom http-Daemon mit root-Rechten ausgeführt werden.

Der Hersteller hat eine aktualisierte Firmware (9.58) veröffentlicht.

Am 5. Mai haben Pierre Kim und Alexandre Torres eine Angabe im Advisory korrigiert: Es sind nicht 112 betroffene Geräte, sondern 127. Die Zahl 112 im Advisory stammt aus der Stellungnahme von ipTIME, bei der Analyse der neuen Firmware haben die Forscher aber die aufgeführten 127 Geräte gefunden.

Am 1. Juli haben die beiden Forscher Exploits für die Schwachstellen veröffentlicht, so dass Sie bei Bedarf ihre Geräte auf das Vorhandensein der Schwachstellen testen können. Wenn Sie die in Zukunft überhaupt noch nutzen wollen, nachdem Sie den Text zu den Exploits gelesen haben. Genauer: Diese Zeile ziemlich am Schluss:

"By the way, d.cgi in /bin/ is an intentional backdoor from ipTIME."
Im Original übrigens fett hervor gehoben!

Am 3. Juli wurden dann CSRF- und XSS-Schwachstellen in der aktualisierten Firmware für den Router n104r3 gemeldet, am 6. Juli folgte ein Advisory für 127 Geräte, die alle die Ausführung von Code über DHCP-Requests erlauben.

Falls Ihnen das alles irgendwie seltsam bekannt vor kommt: Die gleichen Schwachstellen wurden kurze Zeit später in diversen TOTOLINK-Routern des gleichen Herstellers entdeckt, siehe Teil 2 der Router-Schwachstellen.

Zeitlich hätten die letzten Schwachstellen ebenfalls in diesen Teil gehört, der Einfachheit halber habe ich sie aber mit den bereits im April entdeckten Schwachstellen hier zusammengefasst. Zum einen, weil sie auch die im Juli aktuellste Firmware-Version 9.66 und damit auch die im April gepatchten Geräte mit der Firmware 9.58 betreffen. Zum anderen, weil die am 1. Juli gemeldete Hintertür eigentlich Grund genug ist, die Geräte nicht mehr zu verwenden. Ein paar zusätzliche Schwachstellen, auch wenn sie derart kritisch sind wie in diesem Fall, machen dann auch nicht mehr viel aus. Welcher Kriminelle nutzt für ein Eindringen schon Schwachstellen aus, wenn er auch einfach durch die offen stehende Hintertür spazieren kann?

Das einzige, was hier eigentlich noch fehlt, sind die beliebten Default-Zugangsdaten. Aber auf die hat man wohl verzichtet, da man ja schon die Hintertür eingebaut hatte.

In der nächsten Folge gibt es weitere Schwachstellen in SOHO-Routern.

Carsten Eilers