Skip to content

NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool

In dieser Folge geht es insbesondere um das sog. NAT-Pinning, bei dem Client und Router unterschiedliche Ansichten über das aktuelle Protokoll haben. Außerdem wurden 2010 eine Reihe neuer Angriffe auf Cisco-WLANs vorgestellt, und ein neues Tool erlaubt das Testen von und Angriffe auf Router.

NAT-Pinning: Für den Client ist es HTTP, für den Router IRC

Samy Kamkar, der berühmt-berüchtigte Entwickler des MySpace-Wurms Samy, hat auf der Sicherheitskonferenz "Black Hat USA 2010" einen Vortrag mit dem Titel "How I Met Your Girlfriend" gehalten. Darin hat er vor allem Angriffe auf die Entropie der PHP-Session-IDs beschrieben, aber auch einen interessanten Angriff auf die Network Adress Translation NAT vorgestellt: NAT-Pinning. Ausgangspunkte seines Angriffs:

  • HTTP-Server können auf beliebigen Ports laufen.
  • Ein (verstecktes) Formular in einer Webseite kann über den JavaScript-Befehl form.submit() Daten an beliebige Ports schicken.
  • HTTP ist ein Newline-basiertes Protokoll, ebenso wie viele andere Protokolle.

Das daraus entwickelte NAT-Pinning funktioniert folgendermaßen:

  • Der Angreifer lockt das Opfer auf eine präparierte Webseite.
  • Diese Seite enthält JavaScript-Code, der sich mit dem IRC-Port 6667 des Servers des Angreifers verbindet.
  • Unbemerkt vom Angreifer entsteht eine HTTP-Verbindung zum (Fake-)IRC-Server des Angreifers, der nur auf Verbindungen wartet.
  • Weiterer JavaScript-Code löst eine Kommunikation über das Direct Client-to-Client (DCC) Protokoll aus:
    "PRIVMSG samy : DCC CHAT samy [IP-Adresse (dezimal)] [Port]"
  • Der Router erkennt eine IRC-Verbindung (obwohl der Client HTTP "spricht") und darin einen DCC-Chat-Aufruf. Der benötigt einen Port auf dem lokalen Rechner, mit dem sich der Chatter vom entfernten Rechner verbinden kann.
  • Der Router (der alle eingehenden Verbindungsversuche abblockt) leitet danach alle von außen an den für den "DCC Chat" verwendeten Port gerichteten Pakete an den Client weiter, um den Chat zu ermöglichen.
  • Da der Angreifer diesen Port ausgewählt hat, kann er z.B. den FTP-Port 21 verwenden, wodurch er von außen ungestört darauf zugreifen kann.

Sind bestimmte Ports im Browser gesperrt, kann in Apples Safari und alle anderen Webkit-Browsern außer Googles Chrome eine von Goatse Security entdeckte Überlauf-Schwachstelle beim Prüfen erlaubter Ports ausgenutzt werden: Es gibt 65536 mögliche Ports, statt dem Port 6667 kann auch der Port 65536+6667=72203 verwendet werden. Die betroffenen Browser prüfen nur auf "Port == 6667", wodurch die Prüfung durch die Verwendung von Port 72203 umgangen werden kann. Eine entsprechende Schwachstelle (CVE-2010-1408) wurde von Apple behoben, ob es sich dabei wirklich um die von Kamkar angesprochene handelt, ist unklar.

Nicht alle Router erlauben diese Art von "NAT-Traversal", zumindest nicht für IRC. Eine Liste betroffener Router gibt es nicht. Samy Kamkar konnte den Angriff mit einem Belkin N1 Vision Wireless Router durchführen, bei einem Netopia 3347-02 war der Angriff nicht über IRC möglich, sondern nur über FTP. Als Gegenmaßnahme gegen NAT-Pinning schlägt Kamkar das Sperren unbekannter ausgehender Verbindungen in der Firewall vor. Eine Local Firewall auf den Clients kann vor der Nutzung unbekannter Ports warnen.

Angriffe auf Ciscos WLAN-Lösungen

"Hacking Cisco Enterprise WLANs" war der Titel eines Vortrags von Enno Rey und Daniel Mende von ERNW auf der Konferenz "Black Hat Europe 2010". Gegenstand des Vortrags waren die verschiedenen Nicht-Standard-Technologien in Ciscos WLAN-Lösungen. Vorgestellt wurden der Aufbau und natürlich die Schwachstellen in den Architekturen SWAN (Structured Wireless-Aware Network) und CUWN (Cisco Wireless Unified Networking).

Insbesondere die Nutzung als unsicher eingestufter Protokolle als Grundlage von Erweiterungen erlaubt verschiedene Angriffe. In SWAN ist so das Ausspähen der CISCO-eigenen Schlüssel NSK (Network Session Key) und CTK (Context Transfer Key) möglich, danach das Ausspähen des WPA Pairwise Master Key. CUWN verwendet als Hauptprotokoll CAPWAP (Control And Provisioning of Wireless Access Points), dass u.a. per Default jedem Zertifikat von Ciscos Manufacturing CA (MIC) vertraut. Daher ist jede Cisco-Hardware vertrauenswürdig - auch, wenn sie von einem Dritten installiert wurde. Außerdem sind z.B. verschiedene Angriffe über SNMP möglich.

Enno Rey und Daniel Mende kündigten außerdem das GUI-gesteuerte Tool "Loki" für Angriffe auf Router an, das im Juli veröffentlicht werden sollte.

Loki - Ein Tool für Angriffe auf Router

Loki wurde dann anlässlich der Konferenz "Black Hat USA 2010" veröffentlicht. Der zugehörige Vortrag wurde von Daniel Mende und Rene Graf gehalten und hatte den Titel "Burning Asgard - What happens when Loki breaks free".

Loki ist ein Python-Framework mit Modulen zum Erzeugen von Paketen für und Durchführen von Angriffen auf Layer-3-Protokolle. Loki hilft beim Finden von Schwachstellen und bei ihrer Ausnutzung, so dass früher mehr oder weniger theoretische Schwachstellen, bei denen man kaum mit Angriffen rechnen musste, nun zu einer tatsächlichen Gefahr werden. Die Liste bereits unterstützter Protokolle ist lang:

Aus rechtlichen Gründen wurden Module für EIGRP (Enhanced Interior Gateway Routing Protocol) und WLCCP (Wireless LAN Context Control Protocol) noch nicht veröffentlicht. Für EIGRP wurden EIGRP-TLV-Injection sowie DoS-Angriffe (authentifiziert und unauthentifiziert) implementiert, für WLCCP verschiedene Angriff auf die Authentifizierung. Außerdem kann die Authentifizierung für BGP-Session nach RFC 2385 (TCP-MD5) gebrochen werden. Wie man mit Hilfe bekannter "Good Practices" die Angriffe abwehrt, verrät das Whitepaper zum Vortrag.

In der nächsten Folge geht es zum Abschluss des Themenblocks "Netzwerk-Sicherheit" um Angriffe auf den WLAN-Client, der im Gegensatz zum Access Point meist nur schlecht geschützt ist.

Carsten Eilers


Übersicht über alle Artikel zum Thema

WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!
"Hole196" - Eine neue Schwachstelle in WPA2
DNS-Rebinding - Ein altbekannter Angriff kompromittiert Router
Von außen durch den Client in den Router
Ciscos "WPA Migration Mode" öffnet den Weg ins WLAN
NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool
Angriffe auf den WLAN-Client
BEAST - Ein neuer Angriff auf SSL und TLS 1.0
Konfigurationsänderungen am Router per UPnP - aus dem Internet
WLAN-Sicherheit - Stand der Dinge
WPS-Schwachstelle gefährdet WLANs

Trackbacks

www.astaro.org am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.