Konfigurationsänderungen am Router per UPnP - aus dem Internet
Eine Schwachstelle oder besser ein Designfehler in vielen DSL-Routern und Kabelmodems erlaubt den Zugriff auf die UPnP-Funktion aus dem Internet. Die Folgen sind weitreichend: Ein Angreifer kann auf das lokale Netz zugreifen oder das angegriffene Gerät als Proxy z.B. zum Download illegaler Inhalte missbrauchen. Beim Rückverfolgen des Downloads endet die Spur dann beim betroffenen Gerät - und dessen Benutzer kann sich nicht erklären, wieso er einer Tat beschuldigt wird, die er nicht begangen hat.
Mit UPnP von außen ins lokale Netz... oder weiter
Daniel Garcia hat auf der vom 4. bis 7. August 2011 abgehaltenen Sicherheitskonferenz DEF CON 19 einen Angriff auf bzw. Schwachstellen in einigen DSL-Routern und Kabelmodems beschrieben (Präsentation zum Download): Die Router unterstützen auch auf der WAN-Schnittstelle UPnP (Universal Plug and Play), so dass sie aus dem Internet zugänglich sind. Ein Angreifer kann die Geräte z.B. so umkonfigurieren, dass sie als Proxy dienen oder über sie auf das interne LAN zugreifen. Das grundsätzliche Problem des unsicheren UPnP ist seit mindestens 2001 bekannt, bis zu den Router-Herstellern scheint es sich aber nicht herumgesprochen zu haben. Dan Kaminsky ist übrigens zufällig auf das gleiche Problem gestoßen, als er Bitcoin auf Schwachstellen untersuchte.
Zur Demonstration der Angriffe hat Daniel Garcia das Python-Skript Umap zum Download bereit gestellt. Seine Original-Website ist zumindest zur Zeit nicht erreichbar, es gibt aber Kopien des Tools, z.B. auf Packet Storm.
Insgesamt stellt Umap drei Funktionen bereit:
- Einen SocksV4-Proxy, der Requests automatisch durch UPnP-Geräte weiterleitet,
- einen TCP/UDP-Scanner und
- einen manuellen Port-Mapper für UPnP-Geräte
UPnP übers Internet - fast so einfach wie Plug&Play
Umap sucht im Internet nach UPnP-fähigen Geräten wie DSL-Routern und Kabelmodems. Eigentlich ist UPnP nur für lokale Netze vorgesehen, in denen UPnP-fähige Geräte über Multicast-Requests gesucht werden. Danach wird dann die XML-Beschreibung der Geräte über HTTP und SOAP angefordert, auch die darauf ggf. folgende Konfigurationsänderung etc. erfolgt über HTTP/SOAP. Auf den Geräten muss also generell ein HTTP-Server auf entsprechende Requests warten. Umap löst das Problem der Suche, indem die XML-Beschreibungen der Geräte direkt abgefragt werden, für einige Modelle sind die benötigten URL und Ports bereits im Skript enthalten. Bei Geräten von Linksys, Edimax, Sitecom und Thomson (einschließlich Speedtouch/Alcatel/Thomson) nehmen die HTTP-Server für UPnP auch auf der WAN-Schnittstelle Requests entgegen - und genau darin besteht die Schwachstelle.
Da UPnP keine Authentifizierung kennt, ist zumindest die Abfrage der XML-Beschreibung immer möglich. Nach dem ersten Verbindungsaufbau sendet Umap dann über SOAP-Requests Befehle wie "AddPortMapping" an die Geräte, die eigentlich von anderen Geräten im LAN verwendet werden, um über NAT auf das Internet zuzugreifen. Umap mappt den Port dann auf ein beliebiges Gerät im LAN, dessen IP-Adresse erraten wird, und versucht so, Hosts und Services im LAN zu erkennen.
Da das Mapping auch mit IP-Adressen im Internet funktioniert, kann der Angreifer das angegriffene Gerät auch als Proxy missbrauchen, um z.B. illegale Inhalte herunter zu laden oder anonym zu surfen.
Die meisten DSL-Router und Kabelmodems sind beim Loggen ziemlich nachlässig, daher lässt sich ein Angriff meist nicht erkennen oder gar nachweisen. Die entsprechenden Informationen landen schlicht und einfach gar nicht im Logfile.
Gegenmaßnahme: UPnP ausschalten. Teilweise oder ganz
Das Problem lässt sich ganz einfach dadurch lösen, dass UPnP für die WAN-Schnittstelle ausgeschaltet wird. Wenn der Hersteller des DSL-Routers oder Kabelmodems dass denn vorgesehen hat. Wenn nicht, bleibt nur die Möglichkeit, UPnP komplett auszuschalten. Was wiederum u.U. dazu führt, das Geräte im LAN keine Verbindung ins Internet mehr aufbauen können, da sie den Router bzw. das Modem nicht mehr finden bzw. nicht mehr passend konfigurieren können.
Soviel zur aktuellen Gefährdung von Home-Routern und Co. über das bzw. aus dem Internet. In der nächsten Folge geht es um mehr oder weniger aktuelle Entwicklungen im Bereich der WLAN-Sicherheit.
Übersicht über alle Artikel zum Thema
- WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!
- "Hole196" - Eine neue Schwachstelle in WPA2
- DNS-Rebinding - Ein altbekannter Angriff kompromittiert Router
- Von außen durch den Client in den Router
- Ciscos "WPA Migration Mode" öffnet den Weg ins WLAN
- NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool
- Angriffe auf den WLAN-Client
- BEAST - Ein neuer Angriff auf SSL und TLS 1.0
- Konfigurationsänderungen am Router per UPnP - aus dem Internet
- WLAN-Sicherheit - Stand der Dinge
- WPS-Schwachstelle gefährdet WLANs
Trackbacks
Dipl.-Inform. Carsten Eilers am : Mal wieder nichts Gutes zu Routern...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Filet-o-Firewall - ein neuer browserbasierter Angriff auf die Firewall
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #3: Unsichere Netzwerk-Dienste
Vorschau anzeigen